« August 2023 | Main | October 2023 »

September 2023

2023.09.30

NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース:パート 1 - PIV データ・モデル、パート 2 - カード・エッジ・インタフェース、パート 3 - アプリケーション・プログラミング・ インタフェース

こんにちは、丸山満彦です。

NISTが、NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース:

  • パート 1 - PIV データ・モデル
  • パート 2 - カード・エッジ・インタフェース
  • パート 3 - アプリケーション・プログラミング・ インタフェース

の3つの文書を公表し、意見募集をしていますね。。。

NIST - ITL

NIST SP 800-73-5 個人 ID 検証のためのインタフェース parts 1-3

Announcement 発表
In January 2022, NIST revised Federal Information Processing Standard (FIPS) 201, which establishes standards for the use of Personal Identity Verification (PIV) Credentials – including the credentials on PIV Cards. NIST Special Publication (SP) 800-73-5: Parts 1–3 and SP 800-78-5 have subsequently been revised to align with FIPS 201 and are now available for public comment. 2022 年 1 月、NIST は、個人識別検証(PIV)クレデンシャル(PIV カードのクレデンシャルを 含む)の使用標準を確立する連邦情報処理標準(FIPS)201 を改訂した。NIST 特別刊行物(SP)800-73-5: パート 1-3 および SP 800-78-5 は、その後 FIPS 201 と整合するように改訂され、現在パブ リック・コメントを受け付けている。
SP 800-73-5: Parts 1–3 ipd (Initial Public Draft) SP 800-73-5: パート 1-3 ipd(初期公開ドラフト)
SP 800-73-5: Parts 1–3 ipd, Interfaces for Personal Identity Verification, describes the technical specifications for using the PIV cards including a PIV data model (Part 1), card edge interface (Part 2), and application programming interface (Part 3). Major changes to the documents include: SP 800-73-5: Part 1-3 ipd「個人データ検証のためのインタフェース」は、PIV データ・モデル(第 1 部)、 カード・エッジ・インタフェース(第 2 部)、アプリケーション・プログラミング・ インタフェース(第 3 部)など、PIV カードを使用するための技術仕様を記述している。文書の主な変更点は以下のとおりである:
・Removal of the previously deprecated CHUID authentication mechanism ・以前は非推奨であった CHUID 認証メカニズムの削除。
・Deprecation of the SYM-CAK and VIS authentication mechanisms ・SYM-CAK および VIS 認証メカニズムの廃止
・Addition of an optional 1-factor secure messaging authentication mechanism (SM-Auth) for contactless interfaces for facility access applications ・施設アクセス・アプリケーション向け非接触型インタフェースに、オプションの 1 要素セキュア・メッセージング認証メカニズム(SM-Auth)を追加
・Additional use of the facial image biometric for general authentication via BIO and BIO-A authentication mechanisms ・BIOおよびBIO-A認証メカニズムによる一般認証への顔画像バイオメトリックの追加使用
・Restriction on the number of consecutive activation retries for each of the activation methods (i.e., PIN and OCC attempts) to be 10 or less ・各アクティベーション方法(すなわち、PIN および OCC 試行)の連続アクティベーショ ン再試行回数を 10 回以下に制限
・SP 800-73-5: Part 3 on PIV Middleware specification marked as optional to implement ・SP 800-73-5: PIV ミドルウェア仕様に関するパート 3 は、実装が任意であるとした
We encourage you to use this comment template to record and organize your comments on the SP 800-73-5 parts. このコメントテンプレートを使用して、SP 800-73-5 の各部に対するコメントを記録し、整理することを推奨する。
Also see SP 800-78-5 ipd. SP 800-78-5 ipd も参照のこと。
Abstract 概要
FIPS 201 defines the requirements and characteristics of government-wide interoperable identity credentials. It specifies that these identity credentials must be stored on a smart card and that additional common identity credentials, known as derived PIV credentials, may be issued by a federal department or agency and used when a PIV Card is not practical. This document contains the technical specifications to interface with the smart card to retrieve and use PIV identity credentials. The specifications reflect the design goals of interoperability and PIV Card functions. The goals are addressed by specifying a PIV data model, card edge interface, and application programming interface. Moreover, this document enumerates requirements for the options and branches in international integrated circuit card standards. The specifications go further by constraining interpretations of the normative standards to ease implementation, facilitate interoperability, and ensure performance in a manner tailored for PIV applications. FIPS 201 は、政府全体で相互運用可能な ID クレデンシャルの要件および特性を定義している。これは、これらの ID クレデンシャルがスマート・カードに格納されなければならないこと、および派生 PIV クレデンシャルとして知られる追加の共通 ID クレデンシャルが連邦省庁によって発行され、PIV カードが実用的でない場合に使用され る場合があることを規定している。本文書には、PIV ID クレデンシャルを取得して使用するためにスマート・カードとインタ ーフェースするための技術仕様が含まれている。この仕様は、相互運用性および PIV カード機能の設計目標を反映している。目標は、PIV データ・モデル、カード・エッジ・インタフェース、およびアプリケーショ ン・プログラミング・インタフェースを規定することで対処される。さらに、本文書は、国際集積回路カード標準のオプションおよび分岐の要件を列挙している。この仕様は、実装を容易にし、相互運用性を促進し、PIV ア プリケーションに合わせた方法で性能を確保するために、標準規格の解釈を制約するこ とによってさらに進む。

 

パート1

・2023.09.27 NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 1 – PIV Card Application Namespace, Data Model and Representation

・[PDF] NIST.SP.800-73pt1-5.ipd

20230930-51729

 

目次...

NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 1 – PIV Card Application Namespace, Data Model and Representation NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース: パート 1 - PIV カード・アプリケーションの名前空間、データ・モデルおよび表現
1. Introduction  1. 序文 
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Effective Date 1.3. 発効日
1.4. Audience and Assumptions 1.4. 対象者および前提条件
1.5. Document Overview and Structure 1.5. 文書の概要と構成
2. PIV Card Application Namespaces 2. PIV カード・アプリケーション名前空間
2.1. Namespaces of the PIV Card Application 2.1. PIV カード・アプリケーションの名前空間
2.2. PIV Card Application AID 2.2. PIV カード・アプリケーション AID
3. PIV Data Model Elements 3. PIV データ・モデル要素
3.1. Mandatory Data Elements 3.1. 必須データ要素
3.2. Conditional Data Elements 3.2. 条件付きデータ要素
3.3. Optional Data Elements 3.3. オプションのデータ要素
3.4. Inclusion of Universally Unique Identifiers (UUIDs) 3.4. 汎用一意識別子(UUID)のインクルード
3.5. Data Object Containers and Associated Access Rules and Interface Modes 3.5. データ・オブジェクト・コンテナおよび関連するアクセス規則とインターフェイス・モード
4. PIV Data Objects Representation 4. PIV データ・オブジェクトの表現
4.1. Data Objects Definition 4.1. データ・オブジェクト定義
4.2. OIDs and Tags of PIV Card Application Data Objects 4.2. PIV カード・アプリケーション・データ・オブジェクトの OID とタグ
4.3. Object Identifiers 4.3. オブジェクト識別子
5. Data Types and Their Representation 5. データ型とその表現
5.1. Key References 5.1. キー参照
5.2. PIV Algorithm Identifier 5.2. PIV アルゴリズム識別子
5.3. Cryptographic Mechanism Identifiers 5.3. 暗号メカニズム識別子
5.4. Secure Messaging and Authentication Using a Secure Messaging Key (SM-AUTH) 5.4. セキュア・メッセージング・キーを使用するセキュア・メッセージングおよび本人認証 (SM-AUTH)
5.5. Virtual Contact Interface 5.5. バーチャル・コンタクト・インターフェース
5.6. Status Words 5.6. ステータスワード
References 参考文献
Appendix A. PIV Data Model 附属書 A. PIV データモデル
Appendix B. PIV Authentication Mechanisms 附属書 B. PIV 認証メカニズム
Appendix C. PIV Algorithm Identifier Discovery 附属書 C. PIV アルゴリズム識別子の発見
Appendix D. List of Symbols, Abbreviations, and Acronyms 附属書 D. 記号、略語、および頭字語のリスト
Appendix E. Glossary 附属書 E. 用語集
Appendix F. Notation 附属書 F. 表記法
Appendix G. Revision History 附属書 G. 改訂履歴

 

 

パート2

・2023.09.27 NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 2 – PIV Card Application Card Command Interface

 

 

・目次...

NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 2 – PIV Card Application Card Command Interface NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証用インタフェース: パート 2 - PIV カード・アプリケーション・カード・コマンド・インタフェース
Table of Contents 目次
1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience and Assumptions 1.3. 対象者および前提
1.4. Content and Organization 1.4. 内容と構成
2. Overview: Concepts and Constructs 2. 概要 概念と構成
2.1.Platform Requirements 2.1.プラットフォーム要件
2.2. Namespaces of the PIV Card Application 2.2. PIV カード・アプリケーションの名前空間
2.3. Card Applications 2.3. カード・アプリケーション
 2.3.1. Default Selected Card Application  2.3.1. デフォルト選択カード・アプリケーション
2.4.Security Architecture 2.4.セキュリティ・アーキテクチャ
 2.4.1. Access Control Rule  2.4.1. アクセス・コントロール・ルール
 2.4.2. Security Status  2.4.2. セキュリティ・ステータス
 2.4.3. Authentication of an Individual  2.4.3. 本人認証
2.5. Current State of the PIV Card Application 2.5. PIV カード・アプリケーションの現状
3. PIV Card Application Card Command Interface 3. PIV カード・アプリケーション・カード・コマンド・インタフェース
3.1. PIV Card Application Card Commands for Data Access 3.1. データ・アクセスのための PIV カード・アプリケーション・カード・コマンド
 3.1.1. SELECT Card Command  3.1.1. SELECT カード・コマンド
 3.1.2. GET DATA Card Command  3.1.2. GET DATA カード・コマンド
3.2. PIV Card Application Card Commands for Authentication 3.2. 本人認証用 PIV カード・アプリケーション・カード・コマンド
 3.2.1. VERIFY Card Command  3.2.1. VERIFY カード・コマンド
 3.2.2. CHANGE REFERENCE DATA Card Command  3.2.2. CHANGE REFERENCE DATA カード・コマンド
 3.2.3. RESET RETRY COUNTER Card Command  3.2.3. RESET RETRY COUNTER カード・コマンド
 3.2.4. GENERAL AUTHENTICATE Card Command  3.2.4. GENERAL AUTHENTICATE カード・コマンド
3.3. PIV Card Application Card Commands for Credential Initialization and Administration 3.3. クレデンシャル初期化および管理のための PIV カードアプリケーションカードコマンド
 3.3.1. PUT DATA Card Command  3.3.1. PUT DATA カード・コマンド
 3.3.2. GENERATE ASYMMETRIC KEY PAIR Card Command  3.3.2. GENERATE ASYMETRIC KEY PAIR カード・コマンド
4. Secure Messaging 4. セキュア・メッセージング
4.1. Key Establishment Protocol 4.1. 鍵確立プロトコル
 4.1.1. Client Application Steps  4.1.1. クライアント・アプリケーションの手順
 4.1.2. PIV Card Application Protocol Steps  4.1.2. PIV カード・アプリケーション・プロトコル・ステップ
 4.1.3. Notations  4.1.3. 表記
 4.1.4. Cipher Suite  4.1.4. 暗号スイート
 4.1.5. Card Verifiable Certificates  4.1.5. カード検証可能証明書
 4.1.6. Key Derivation  4.1.6. 鍵の導出
 4.1.7. Key Confirmation  4.1.7. 鍵の確認
 4.1.8. Command Interface  4.1.8. コマンド・インターフェース
4.2. Secure Messaging 4.2. セキュア・メッセージング
 4.2.1. Secure Messaging Data Objects  4.2.1. セキュア・メッセージング・データ・オブジェクト
 4.2.2. Command and Response Data Confidentiality  4.2.2. コマンドとレスポンス・データの機密性
 4.2.3. Command Integrity  4.2.3. コマンドの完全性
 4.2.4. Command With PIV Secure Messaging  4.2.4. PIV セキュア・メッセージングを使用したコマンド
 4.2.5. Response Integrity  4.2.5. 応答の完全性
 4.2.6. Response With PIV Secure Messaging  4.2.6. PIV セキュア・メッセージングを使用した応答
 4.2.7. Error Handling  4.2.7. エラー処理
4.3. Session Key Destruction 4.3. セッション鍵の破棄
References 参考文献
Appendix A. Examples of the Use of the GENERAL AUTHENTICATE Command 附属書 A. GENERAL AUTHENTICATEコマンドの使用例
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書 B. 記号、略語、頭字語のリスト
Appendix C. Glossary . 55 Appendix D. Notation 附属書 C.用語集 . 55 付属書 D. 表記法

 

 

パート3

・2023.09.27 NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 3 – PIV Client Application Programming Interface

・[PDF] NIST.SP.800-73pt3-5.ipd

20230930-53631

目次...

NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 3 – PIV Client Application Programming Interface NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース: パート 3 - PIV クライアント・アプリケーション・プログラミング・インターフェース
1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience and Assumptions 1.3. 対象者および前提
1.4. Content and Organization 1.4. 内容と構成
2. Overview: Concepts and Constructs 2. 概要 概念と構成要素
3. Client Application Programming Interface 3. クライアント・アプリケーション・プログラミング・インターフェイス
3.1. Entry Points for Communication 3.1. コミュニケーションのエントリーポイント
3.2. Entry Points for Data Access 3.2. データアクセスのエントリーポイント
3.3. Entry Points for Cryptographic Operations 3.3. 暗号操作のエントリーポイント
3.4. Entry Points for Credential Initialization and Administration 3.4. クレデンシャルの初期化および管理のエントリポイント
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、および頭字語のリスト
Appendix B. Glossary 附属書 B. 用語集
Appendix C. Notation 附属書 C. 表記法

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.30 NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース:パート 1 - PIV データ・モデル、パート 2 - カード・エッジ・インタフェース、パート 3 - アプリケーション・プログラミング・ インタフェース

・2023.09.30 NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズ

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

ちょっと昔ですが。。

・2005.06.18 NIST SP-800

 

 

| | Comments (0)

NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズ

こんにちは、丸山満彦です。

NISTが、NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズを公開し、意見募集をしていますね。。。

 

NIST - ITL

・2023.09.27 NIST SP 800-78-5 (Initial Public Draft) Cryptographic Algorithms and Key Sizes for Personal Identity Verification

 

NIST SP 800-78-5 (Initial Public Draft) Cryptographic Algorithms and Key Sizes for Personal Identity Verification NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズ
Announcement 発表
In January 2022, NIST revised Federal Information Processing Standard (FIPS) 201, which establishes standards for the use of Personal Identity Verification (PIV) Credentials – including the credentials on PIV Cards. NIST Special Publication (SP) 800-73-5: Parts 1–3 and SP 800-78-5 have subsequently been revised to align with FIPS 201 and are now available for public comment. 2022 年 1 月、NIST は、個人識別検証(PIV)クレデンシャル(PIV カードのクレデンシャルを 含む)の使用標準を確立する連邦情報処理標準(FIPS)201 を改訂した。NIST 特別刊行物(SP)800-73-5: パート 1-3 および SP 800-78-5 は、その後 FIPS 201 と整合するように改訂され、現在パブ リック・コメントを受け付けている。
SP 800-78-5 ipd (Initial Public Draft) SP 800-78-5 ipd(初期公開ドラフト)
SP 800-78-5 ipd, Cryptographic Algorithms and Key Sizes for Personal Identity Verification, defines the requirements for cryptographic capability of the PIV Card and supporting systems in coordination with FIPS 201-3. It been modified to add additional algorithm and key size requirements and to update the requirements for Cryptographic Algorithm Validation Program (CAVP) validation testing including: SP 800-78-5 ipd「個人 ID 検証のための暗号アルゴリズムおよび鍵サイズ」は、FIPS 201-3 と連携して、PIV カードおよび支援システムの暗号機能の要件を定義している。追加アルゴリズムおよび鍵サイズ要件を追加し、暗号化アルゴリズム検証プログラム(CAVP) 検証テストの要件を更新するために、以下のように修正された:
・Deprecation of 3TDEA algorithms with identifier ‘00’ and ‘03’ ・識別子が「00」および「03」の 3TDEA アルゴリズムの非推奨。
・Removal of the retired RNG from CAVP PIV component testing where applicable ・該当する場合、CAVP PIV コンポーネント・テストから引退した RNG を削除する。
・Accommodation of the Secure Messaging Authentication key  ・セキュア・メッセージング認証鍵の収容 
・Update to Section 3.1 and Table 1 to reflect additional higher strength keys with at least 128-bit security for use in authentication beginning in 2031 ・セクション 3.1 および表 1 を更新し、2031 年から本人認証に使用する、少なくとも 128 ビットのセキュ リティを持つ、より強度の高い鍵を追加する。
NIST specifically seeks input from federal agencies on the suitability of the digital signature algorithms and key sizes specified in SP 800-78-5. The draft revisions accommodate RSA signatures with 2048-bit and 3072-bit keys, and ECDSA signatures with the P-256 and P-384 curves, for authentication services. NIST requests feedback on the potential need to support RSA with 4096-bit keys, or for the need to add support for the EdDSA signature algorithm that is now specified in FIPS 186-5. NIST は、SP 800-78-5 に規定される電子署名アルゴリズムおよび鍵サイズの適切性について、連邦 機関からの意見を特に求めている。改訂草案では、2048 ビットおよび 3072 ビットの鍵による RSA 署名と、P-256 および P-384 カーブによる ECDSA 署名を本人認証サービスに使用する。NIST は、4096 ビットの鍵による RSA をサポートする潜在的な必要性、または現在 FIPS 186-5 で規定されている EdDSA 署名アルゴリズムのサポートを追加する必要性に関するフィードバックを求めている。
We encourage you to use this comment template to record and organize your comments on SP 800-78-5 ipd. SP 800-78-5 ipd に対するコメントを記録し、整理するために、このコメントテンプレートを使用することを推奨する。
Also see the SP 800-73-5 ipd parts: Part 1, Part 2, Part 3. また、SP 800-73-5 ipd のパートも参照のこと: パート 1、パート 2、パート 3 も参照のこと。
Abstract 概要
Federal Information Processing Standard 201-3 (FIPS 201-3) defines the requirements for Personal Identity Verification (PIV) life cycle activities, including identity proofing, registration, PIV Card issuance, and PIV Card usage. FIPS 201-3 also defines the structure of an identity credential that includes cryptographic keys. This document contains the technical specifications needed for the mandatory and optional cryptographic keys specified in FIPS 201-3, as well as the supporting infrastructure specified in FIPS 201-3 and the related NIST Special Publication (SP) 800-73, Interfaces for Personal Identity Verification, and NIST SP 800-76, Biometric Specifications for Personal Identity Verification, which rely on cryptographic functions. 連邦情報処理標準 201-3(FIPS 201-3)は、身元確認、登録、PIV カード発行、および PIV カード使用など、個人 ID 検証(PIV)のライフサイクル活動の要件を定義している。FIPS 201-3 は、暗号鍵を含む ID クレデンシャルの構造も定義している。この文書には、FIPS 201-3 で指定された必須およびオプションの暗号鍵に必要な技術仕様、ならびに FIPS 201-3 および関連する NIST 特別刊行物(SP)800-73「個人識別検証用インタフェース」、NIST SP 800-76「個人識別検証用バイオメトリクス仕様」で指定されたサポート・インフラストラクチャが含まれ、これらは暗号機能に依存している。

 

・[PDF] NIST.SP.800-78-5.ipd

20230930-50913

 

1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience and Assumptions 1.3. 対象者および前提
1.4. Document Overview 1.4. 文書の概要
2. Application of Cryptography in FIPS 201-3 2. FIPS 201-3 における暗号の適用
3. On-Card Cryptographic Requirements 3. オン・カード暗号要件
3.1.PIV Cryptographic Keys 3.1.PIV 暗号鍵
3.2. Authentication Information Stored on the PIV Card 3.2. PIV カードに格納される本人認証情報
3.2.1. Specification of Digital Signatures on Authentication Information 3.2.1. 認証情報に対するデジタル署名の仕様
3.2.2. Specification of Public Keys In X.509 Certificates 3.2.2. X.509 証明書内の公開鍵の仕様
3.2.3. Specification of Message Digests in the NIST SP 800-73-4 Security Object 3.2.3. NIST SP 800-73-4 セキュリティ・オブジェクトにおけるメッセージ・ダイジェストの仕様
4. Certificate Status Information 4. 証明書ステータス情報
5. PIV Card Application Administration Keys 5. PIV カード・アプリケーション管理鍵
6. Identifiers for PIV Card Interfaces 6. PIV カード・インタフェースの識別
6.1. Key Reference Values 6.1. キー参照値
6.2. PIV Card Algorithm Identifiers 6.2. PIV カード・アルゴリズム識別
6.3. Algorithm Identifiers for PIV Key Types 6.3. PIV 鍵タイプのアルゴリズム識別子
7. Cryptographic Algorithm Validation Testing Requirements 7. 暗号化アルゴリズム検証テスト要件
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、および頭字語のリスト
Appendix B. Change Log 附属書 B. 変更履歴

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

ちょっと昔ですが。。

・2005.06.18 NIST SP-800

 

 

| | Comments (0)

NIST SP 1800-36 (初期ドラフト第2版) 信頼できるIoT機器のネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoT機器とネットワークのセキュリティ強化 (A,D)

こんにちは、丸山満彦です。

NISTがIPベースのIoTデバイスとネットワークのセキュリティ強化のための実践ガイドの初期ドラフト第2版を公表、意見募集をしていますね。。。

昨年12月にA(エグゼクティブサマリー)が、今年の5月にBからEが、そして、今回はAとDの改訂ドラフト。。。

 

協力している企業、団体等は、

ですね。。。

 

● NIST - ITL

・2023.09.26 NIST SP 1800-36 (2nd Preliminary Draft) Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management: Enhancing Internet Protocol-Based IoT Device and Network Security

 

NIST SP 1800-36 (2nd Preliminary Draft) Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management: Enhancing Internet Protocol-Based IoT Device and Network Security NIST SP 1800-36 (初期ドラフト第2版) 信頼できるIoTデバイス・ネットワーク層のオンボーディングとライフサイクル管理: インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティの強化
Announcement 発表
The NIST National Cybersecurity Center of Excellence (NCCoE) has released the second preliminary drafts of volumes A and D of NIST SP 1800-36, Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management. The comment period is open until November 10, 2023. NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NIST SP 1800-36「T信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理」のA巻とD巻の2回目の初期ドラフトを公表した。意見募集期間は2023年11月10日までである。
About the Project プロジェクトについて
Provisioning network credentials to IoT devices in an untrusted manner leaves networks vulnerable to having unauthorized IoT devices connect to them. It also leaves IoT devices vulnerable to being taken over by unauthorized networks. Instead, trusted, scalable, and automatic mechanisms are needed to safely manage IoT devices throughout their lifecycles, beginning with secure ways to provision devices with their network credentials—a process known as trusted network-layer onboarding. Trusted network-layer onboarding, in combination with additional device security capabilities such as device attestation, application-layer onboarding, secure lifecycle management, and device intent enforcement could improve the security of networks and IoT devices. 信頼されていない方法でIoTデバイスにネットワーク認証情報をプロビジョニングすると、ネットワークは未承認のIoTデバイスが接続する脆弱性を残す。また、IoTデバイスが不正なネットワークに乗っ取られる脆弱性も残る。その代わりに、IoTデバイスのライフサイクル全体を安全に管理するために、信頼され、スケーラブルで、自動的なメカニズムが必要とされ、そのためにはまず、デバイスにネットワーク・クレデンシャルをプロビジョニングする安全な方法(信頼されたネットワーク層のオンボーディングとして知られるプロセス)が必要である。信頼されたネットワーク層のオンボーディングは、デバイス認証、アプリケーション層のオンボーディング、セキュアなライフサイクル管理、デバイス・インテント実施などの追加のデバイス・セキュリティ機能と組み合わせることで、ネットワークと IoT デバイスのセキュリティを改善することができる。
This practice guide aims to demonstrate how organizations can protect both their IoT devices and their networks. The updated draft versions of volumes A and D describe advancements to the IoT onboarding functional implementations. NCCoE is collaborating with product and service providers to produce example implementations of trusted network-layer onboarding and capabilities that improve device and network security throughout the IoT-device lifecycle to achieve this. このプラクティス・ガイドは、組織がIoTデバイスとネットワークの両方を保護する方法を示すことを目的としている。更新されたドラフト版(第 A 巻および第 D 巻)では、IoT オンボーディング機能実装の進歩が説明されている。NCCoEは、製品・サービス・プロバイダと協力して、トラスト・ネットワーク層のオンボーディングと、IoTデバイスのライフサイクル全体を通じてデバイスとネットワークのセキュリティを改善する機能の実装例を作成し、これを実現している。
Abstract 概要
Providing devices with the credentials and policy needed to join a network is a process known as network-layer onboarding. Establishing trust between a network and an IoT device prior to such onboarding is crucial for mitigating the risk of potential attacks. There are two sides of this attack: one is where a device is convinced to join an unauthorized network, which would take control of the device. The other side is where a network is infiltrated by a malicious device. Trust is achieved by attesting and verifying the identity and posture of the device and the network as part of the network-layer onboarding process. Additional safeguards, such as verifying the security posture of the device before other operations occur, can be performed throughout the device lifecycle. In this practice guide, the National Cybersecurity Center of Excellence (NCCoE) applies standards, recommended practices, and commercially available technology to demonstrate various mechanisms for trusted network-layer onboarding of IoT devices. We show how to provide network credentials to IoT devices in a trusted manner and maintain a secure posture throughout the device lifecycle. ネットワークに参加するために必要な認証情報とポリシーをデバイスにプロバイダすることは、ネットワーク層のオンボーディングとして知られるプロセスである。このようなオンボーディングに先立ち、ネットワークとIoTデバイスの信頼関係を確立することは、潜在的な攻撃のリスクを低減する上で極めて重要である。この攻撃には2つの側面がある。1つは、デバイスが不正なネットワークに参加するよう説得され、そのネットワークがデバイスを制御する場合だ。もうひとつは、悪意のあるデバイスによってネットワークに侵入されるケースだ。信頼は、ネットワーク・レイヤのオンボーディング・プロセスの一部として、デバイスとネットワークのアイデンティティとポスチャーを認証・検証することで達成される。他の操作が発生する前にデバイスのセキュリティ・ポスチャを検証するなどの追加のセーフガードは、デバイスのライフサイクル全体を通して実行できる。このプラクティスガイドでは、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が標準、推奨プラクティス、および商用利用可能な技術を適用して、IoT デバイスの信頼できるネットワーク層オンボーディングのためのさまざまなメカニズムを実証する。信頼できる方法でネットワーク認証情報を IoT デバイスにプロバイダし、デバイスのライフサイクルを通じて安全な姿勢を維持する方法を示す。

 

A巻...

・[PDF] NIST SP 1800-36A 2prd

20230930-45857

Executive Summary  要旨 
Establishing trust between a network and an Internet of Things (IoT) device (as defined in NIST Internal Report 8425) prior to providing the device with the credentials it needs to join the network is crucial for mitigating the risk of potential attacks. There are two possibilities for attack. One is where a device is convinced to join an unauthorized network, which would take control of the device. The other is where a network is infiltrated by a malicious device. Trust is achieved by attesting and verifying the identity and posture of the device and the network before providing the device with its network credentials—a process known as network-layer onboarding. In addition, scalable, automated mechanisms are needed to safely manage IoT devices throughout their lifecycles, such as safeguards that verify the security posture of a device before the device is permitted to execute certain operations. In this practice guide, the National Cybersecurity Center of Excellence (NCCoE) applies standards, recommended practices, and commercially available technology to demonstrate various mechanisms for trusted network-layer onboarding of IoT devices. This guide shows how to provide network credentials to IoT devices in a trusted manner and maintain a secure device posture throughout the device lifecycle.  ネットワークに参加するために必要な認証情報をデバイスにプロバイダする前に、ネットワークとモノのインターネット(IoT)デバイス(NIST Internal Report 8425で定義)の間の信頼を確立することは、潜在的な攻撃のリスクを低減するために極めて重要である。攻撃には2つの可能性がある。1つは、デバイスが不正なネットワークに参加するよう説得され、デバイスを制御される場合である。もうひとつは、悪意のあるデバイスによってネットワークに侵入されるケースだ。信頼は、デバイスにネットワーク・クレデンシャルをプロバイダダとして提供する前に、デバイスとネットワークのアイデンティティとポスチャを認証・検証することで達成される。さらに、デバイスが特定の操作を実行することを許可される前にデバイスのセキュリティ・ポスチャを検証するセーフガードなど、IoT デバイスをそのライフサイクル全体を通じて安全に管理するための拡張可能で自動化されたメカニズムが必要である。このプラクティスガイドでは、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が標準、推奨プラクティス、および商用利用可能な技術を適用して、IoT デバイスの信頼できるネットワーク層オンボーディングのためのさまざまなメカニズムを実証する。このガイドでは、信頼できる方法でネットワーク認証情報を IoT デバイスにプロバイダし、デバイスのライフサイクル全体を通じて安全なデバイスの姿勢を維持する方法を示す。
CHALLENGE  課題 
With 40 billion IoT devices expected to be connected worldwide by 2025, it is unrealistic to onboard or manage these devices by manually interacting with each device. In addition, providing local network credentials at the time of manufacture requires the manufacturer to customize network-layer onboarding on a build-to-order basis, which prevents the manufacturer from taking full advantage of the economies of scale that could result from building identical devices for its customers.  2025年までに世界中で400億台のIoTデバイスが接続されると予想される中、各デバイスと手作業でやり取りしてこれらのデバイスをオンボードしたり管理したりするのは非現実的だ。さらに、製造時にローカル・ネットワーク認証情報をプロバイダが提供する場合、メーカーは受注生産ベースでネットワーク層のオンボーディングをカスタマイズする必要がある。
There is a need to have a scalable, automated mechanism to securely manage IoT devices throughout their lifecycles and, in particular, a trusted mechanism for providing IoT devices with their network credentials and access policy at the time of deployment on the network. It is easy for a network to falsely identify itself, yet many IoT devices onboard to networks without verifying the network’s identity and ensuring that it is their intended target network. Also, many IoT devices lack user interfaces, making it cumbersome to manually input network credentials. Wi-Fi is sometimes used to provide credentials over an open (i.e., unencrypted) network, but this onboarding method risks credential disclosure. Most home networks use a single password shared among all devices, so access is controlled only by the device’s possession of the password and does not consider a unique device identity or whether the device belongs on the network. This method also increases the risk of exposing credentials to unauthorized parties. Providing unique credentials to each device is more secure, but providing unique credentials manually would be resource-intensive and error-prone, would risk credential disclosure, and cannot be performed at scale.   IoT デバイスをライフサイクルを通じて安全に管理するためのスケーラブルで自動化されたメカニズムが必要であり、特に、IoT デバイスにネットワーク認証情報とアクセス・ポリシーをネットワークに展開する際に提供するための信頼できるメカニズムが必要である。ネットワークがそれ自身を偽って識別するのは簡単だが、多くのIoTデバイスはネットワークの識別を検証せず、それが意図したターゲット・ネットワークであることを確認せずにネットワークにオンボードしている。また、多くのIoTデバイスにはユーザー・インターフェースがないため、ネットワークの認証情報を手動で入力するのが面倒である。オープンな(つまり暗号化されていない)ネットワーク上でクレデンシャルをプロバイダとして提供するためにWi-Fiが使用されることがあるが、このオンボーディング方法はクレデンシャル漏洩のリスクがある。ほとんどのホーム・ネットワークは、すべてのデバイス間で共有される単一のパスワードを使用するため、アクセスはデバイスがパスワードを所有していることのみによって制御され、固有のデバイス ID やデバイスがネットワークに属しているかどうかは考慮されない。この方法はまた、認証情報を無許可の当事者にさらすリスクを増大させる。各デバイスに一意のクレデンシャルを提供することはより安全であるが、一意のクレデンシャルを手動で提供することは、リソース集約的でエラーが発生しやすく、クレデンシャル漏えいのリスクがあり、大規模に実行できない。 
Once a device is connected to the network, if it becomes compromised, it can pose a security risk to both the network and other connected devices. Not keeping such a device current with the most recent software and firmware updates may make it more susceptible to compromise. The device could also be attacked through the receipt of malicious payloads. Once compromised, it may be used to attack other devices on the network.   いったんデバイスがネットワークに接続されると、それが侵害された場合、ネットワークと他の接続デバイスの両方にセキュリティリスクをもたらす可能性がある。そのようなデバイスを最新のソフトウェアとファームウェア・アップデートに更新しておかないと、侵害を受けやすくなる可能性がある。デバイスはまた、悪意のあるペイロードを受け取ることで攻撃される可能性もある。いったん侵害されると、ネットワーク上の他のデバイスを攻撃するために使用される可能性がある。 
OUTCOME  成果 
The outcome of this project is development of example trusted onboarding solutions, demonstration that they support various scenarios, and publication of the findings in this practice guide, a NIST Special Publication (SP) 1800 that is composed of multiple volumes targeting different audiences.  このプロジェクトの成果は、信頼されるオンボーディング・ソリューションの例を開発し、それらが様々なシナリオをサポートすることを実証し、その知見をこの実践ガイド(NIST 特別刊行物(SP)1800 で公表することである。
This practice guide can help IoT device users:  このプラクティス・ガイドは、IoT デバイス・ユーザーを支援する: 
Understand how to onboard their IoT devices in a trusted manner to:  IoT デバイスを信頼できる方法で搭載する方法を理解する: 
§ Ensure that their network is not put at risk as new IoT devices are added to it  § 新しい IoT デバイスがネットワークに追加されても、ネットワークがリスクにさらされないようにする。
§ Safeguard their IoT devices from being taken over by unauthorized networks  § IoT デバイスが不正なネットワークに乗っ取られないように保護する。
§ Provide IoT devices with unique credentials for network access  § IoT デバイスにネットワークアクセス用の固有の認証情報をプロバイダとして提供する。
§ Provide, renew, and replace device network credentials in a secure manner  § デバイスのネットワーク認証情報を安全な方法で提供、更新、交換する。
§ Support ongoing protection of IoT devices throughout their lifecycles   § IoT デバイスのライフサイクルを通じて継続的な保護をサポートする。 
This practice guide can help manufacturers and vendors of semiconductors, secure storage components, IoT devices, and network onboarding equipment:  このプラクティス・ガイドは、半導体、セキュア・ストレージ・コンポーネント、IoT デバイス、ネットワーク・オンボーディング機器の製造業者やベンダーに役立つ: 
Understand the desired security properties for supporting trusted network-layer onboarding and explore their options with respect to recommended practices for:  信頼されたネットワーク層オンボーディングをサポートするために望ましいセキュリティ特性を理解し、以下の推奨プラクティスに関する選択肢を検討する: 
§ Providing unique credentials into secure storage on IoT devices at time of manufacture to mitigate supply chain risks (i.e., device credentials)  § サプライチェーンリスクを軽減するために、製造時に一意のクレデンシャルを IoT デバイスの安全なストレージにプロバイダする(すなわち、デバイスのクレデンシャル)。
§ Installing onboarding software onto IoT devices  § IoT 機器にオンボーディング・ソフトウェアをインストールする。
§ Providing IoT device purchasers with information needed to onboard the IoT devices to their networks (i.e., device bootstrapping information)       § IoT デバイスの購入者に、IoT デバイスをネットワークにオンボードするために必要な情報(すなわち、 デバイスのブートストラップ情報)を提供する。     
§ Integrating support for network-layer onboarding with additional security capabilities to provide ongoing protection throughout the device lifecycle   § ネットワーク層のオンボーディングのサポートを追加のセキュリティ機能と統合し、デバイスのライフサイクル全体を通じて継続的な保護を提供する。 
SOLUTION  解決策 
The NCCoE recommends the use of trusted network-layer onboarding to provide scalable, automated, trusted ways to provide IoT devices with unique network credentials and manage devices throughout their lifecycles to ensure that they remain secure. The NCCoE is collaborating with technology providers and other stakeholders to implement example trusted network-layer onboarding solutions for IoT devices that:  NCCoE は、IoT デバイスに固有のネットワーク認証情報を提供し、デバイスのライフサイクル全体を通じてデバイスを管理し、デバイスの安全性を確実に維持するためのスケーラブルで自動化された信頼できる方法を提供するために、信頼できるネットワーク層オンボーディングの使用を推奨する。NCCoE は、テクノロジー・プロバイダやその他の利害関係者と協力して、以下のような IoT デバイス用の信頼されたネットワーク・レイヤ・オンボーディング・ソリューションの例を実装している: 
§ provide each device with unique network credentials,  § 各デバイスに一意のネットワーク認証情報を提供する、 
§ enable the device and the network to mutually authenticate,  § デバイスとネットワークの相互認証を可能にする、 
§ send devices their credentials over an encrypted channel,  § 暗号化されたチャネルを介してデバイスに認証情報を送信する、 
§ do not provide any person with access to the credentials, and  § 認証情報へのアクセスをいかなる人物にも提供しない。
§ can be performed repeatedly throughout the device lifecycle.   § は、デバイスのライフサイクルを通じて繰り返し実行できる。 
The capabilities demonstrated include:  実証された機能は以下の通り: 
§ trusted network-layer onboarding of IoT devices,  § IoTデバイスの信頼されたネットワーク層オンボーディング、 
§ repeated trusted network-layer onboarding of devices to the same or a different network,  § 同じネットワークまたは異なるネットワークへのデバイスの信頼されたネットワーク層オンボーディングの繰り返し、 
§ automatic establishment of an encrypted connection between an IoT device and a trusted application service (i.e., trusted application-layer onboarding) after the IoT device has performed trusted network-layer onboarding and used its credentials to connect to the network, and  § IoT デバイスがトラステッド・ネットワークレイヤーのオンボーディングを実行し、その認証情報を使用してネットワークに接続した後、IoT デバイスとトラステッド・アプリケーション・サービスとの間で暗号化された接続を自動的に確立する(すなわち、トラステッド・アプリケーションレイヤーのオンボーディング)。
§ software-based methods to provide device credentials in the factory and transfer device bootstrapping information from device manufacturer to device purchaser.   § 工場内でデバイス認証情報を提供し、デバイスのブートストラップ情報をデバイス製造業者からデバイ ス購入者に転送するソフトウェアベースの方法。 
Future capabilities may include demonstrating the integration of trusted network-layer onboarding with zero trust-inspired mechanisms such as ongoing device authorization, renewal of device network credentials, device attestation to ensure that only trusted IoT devices are permitted to be onboarded, device lifecycle management, and enforcement of device communications intent.  将来的には、信頼されたネットワーク層オンボーディングと、継続的なデバイス認証、デバイス・ネットワーク認証情報の更新、信頼されたIoTデバイスのみがオンボーディングを許可されることを保証するためのデバイス認証、デバイス・ライフサイクル管理、デバイス・コミュニケーション・インテントの実施など、ゼロトラストにインスパイアされたメカニズムとの統合を実証することができる。
This demonstration follows an agile methodology of building implementations (i.e., builds) iteratively and incrementally, starting with network-layer onboarding and gradually integrating additional capabilities that improve device and network security throughout a managed device lifecycle. This includes factory builds that simulate activities performed to securely provide device credentials during the manufacturing process, and five network-layer onboarding builds that demonstrate the Wi-Fi Easy Connect, Bootstrapping Remote Secure Key Infrastructure, and Thread Commissioning protocols. These builds also demonstrate both streamlined and independent trusted application-layer onboarding approaches, along with policy-based continuous assurance and authorization. The example implementations use technologies and capabilities from our project collaborators (listed below).   このデモは、実装(すなわちビルド)を反復的かつ段階的に構築するアジャイル手法に従っており、ネットワーク層のオンボーディングから始まり、管理されたデバイスのライフサイクル全体を通じてデバイスとネットワークのセキュリティを改善する追加機能を徐々に統合していく。これには、製造プロセス中にデバイス認証情報を安全に提供するために実行される活動をシミュレートする工場ビルドと、Wi-Fi Easy Connect、Bootstrapping Remote Secure Key Infrastructure、Thread Commissioningプロトコルを実証する5つのネットワーク層オンボーディングビルドが含まれる。また、これらのビルドは、ポリシー・ベースの継続的な保証と承認とともに、合理的で独立した信頼できるアプリケーション層のオンボーディング・アプローチの両方を実証している。実装例では、プロジェクトの共同研究者(以下にリストアップ)の技術と機能を使用している。 
Collaborators  協力者 
Aruba, a Hewlett Packard Enterprise company  ヒューレット・パッカード・エンタープライズ傘下のAruba社 
CableLabs  ケーブルラボ 
Cisco  シスコ 
Foundries.io  Foundries.io 
Kudelski IoT  クデルスキーIoT 
NquiringMinds  NquiringMinds 
NXP Semiconductors  NXPセミコンダクターズ 
Open Connectivity Foundation  オープンコネクティビティ財団 
Sandelman Software Works  サンデルマン・ソフトウェア・ワークス 
Silicon Labs  シリコンラボ 
WISeKey  WISeKey 
While the NCCoE uses a suite of commercial products, services, and proof-of-concept technologies to address this challenge, this guide does not endorse these particular products, services, and technologies, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products and services that will best integrate with your existing tools, IT and IoT system infrastructure, and operations. Your organization can adopt these solutions or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution.  NCCoE は、この課題に対処するために一連の商用製品、サービス、および概念実証技術を使用しているが、本ガイドは、これらの特定の製品、サービス、および技術を推奨するものではなく、また、いかなる規制イニシアチブへの準拠を保証するものでもない。組織の情報セキュリティ専門家は、既存のツール、IT、IoT システムのインフラ、および運用と最もよく統合できる製品やサービスを特定する必要がある。貴組織は、これらのソリューションまたはこれらのガイドラインに準拠したソリューションを全面的に採用することもできるし、本ガイドを出発点としてソリューションの一部をカスタマイズして導入することもできる。
HOW TO USE THIS GUIDE  このガイドの使い方 
Depending on your role in your organization, you might use this guide in different ways:  組織におけるあなたの役割によって、このガイドの使い方は異なる: 
Business decision makers, such as chief information security, product security, and technology officers, can use this part of the guide, NIST SP 1800-36A: Executive Summary, to understand the project’s challenges and outcomes, as well as our solution approach.  最高情報セキュリティ責任者、製品セキュリティ責任者、技術責任者などのビジネス意思決定者は、本ガイドのこの部分「NIST SP 1800-36A:エグゼクティブサマリー」を使用して、プロジェクトの課題と成果、および当社のソリューションアプローチを理解することができる。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use NIST SP 1800-36B: Approach, Architecture, and Security Characteristics. This part of the guide describes the architecture and different implementations. Also, NIST SP 1800-36E: Risk and Compliance Management, maps components of the trusted onboarding reference architecture to security characteristics in broadly applicable, well-known cybersecurity guidelines and practices.  リスクを識別、理解、評価、軽減する方法に関心のある技術、セキュリティ、プライバシーのプログラムマネージャは、NIST SP 1800-36B: アプローチ、アーキテクチャ、セキュリティ特性を使用することができる。このパートでは、アーキテクチャとさまざまな実装について説明している。また、NIST SP 1800-36E: リスクとコンプライアンスのマネジメントでは、信頼されるオンボーディングの参照アーキテクチャのコンポーネントを、広く適用可能な周知のサイバーセキュリティガイドラインとプラクティスのセキュリティ特性にマッピングしている。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-36C: HowTo Guides. It provides product installation, configuration, and integration instructions for building example implementations, allowing them to be replicated in whole or in part. They can also use NIST SP 1800-36D: Functional Demonstrations, which provides the use cases that have been defined to showcase trusted network-layer onboarding and lifecycle management security capabilities and the results of demonstrating these capabilities with each of the example implementations.  このようなアプローチを実装したいIT専門家は、NIST SP 1800-36C: HowTo Guidesを活用することができる。このガイドには、実装例を構築するための製品のインストール、構成、統合の手順が記載されており、これらの全部または一部を複製することができる。また、NIST SP 1800-36D: Functional Demonstrations を利用することもできる。これは、信頼されたネットワーク層のオンボーディングとライフサイクル管理のセキュリティ機能を示すために定義されたユースケースと、各実装例でこれらの機能を実証した結果を提供するものである。

 

 

D巻...

・[PDF] NIST SP 1800-36D 2prd

20230930-45903

 

目次...

Contents  目次 
1  Introduction 1 序文
1.1  How to Use This Guide 1.1 本ガイドの使用方法
2  Functional Demonstration Playbook 2 機能デモプレイブック
2.1  Scenario 0: Factory Provisioning 2.1 シナリオ0:工場でのプロビジョニング
2.2  Scenario 1: Trusted Network-Layer Onboarding 2.2 シナリオ1:信頼できるネットワークレイヤーのオンボーディング
2.3  Scenario 2: Trusted Application-Layer Onboarding 2.3 シナリオ2:信頼できるアプリケーションレイヤーのオンボーディング
2.4  Scenario 3: Re-Onboarding a Device 2.4 シナリオ3:デバイスの再オンボーディング
2.5  Scenario 4: Ongoing Device Validation 2.5 シナリオ4:継続的なデバイス検証
2.6  Scenario 5: Establishment and Maintenance of Credential and Device Security Posture Throughout the Lifecycle 2.6 シナリオ5:ライフサイクルを通してのクレデンシャルおよびデバイスのセキュリティ態勢の確立と保守
3  Functional Demonstration Results 3 機能実証結果
3.1  Build 1 Demonstration Results 3.1 構築 1 の実証結果
3.2  Build 2 Demonstration Results 3.2 構築 2 の実証結果
3.3  Build 3 Demonstration Results 3.3 構築 3 の実証結果

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.07 米国 NIST SP 1800-36 (ドラフト) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化(初期ドラフト)(2023.05.03)

・2022.12.13 NIST SP 1800-36 (ドラフト) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化(初期ドラフト)(2022.12.05)

 

SP 800-213, NIST IR 8259関係

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2021.11.30 NIST SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立、SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

IoTのネットワーク関係

・2022.01.21 NISTIR 8349(ドラフト)IoTデバイスのネットワーク動作を特徴づける方法論 at 2022.01.11

 

消費者向けの方...

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

 

法制化の件...

・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

 

 

| | Comments (0)

NIST IR 8476 第3回 高性能コンピューティングセキュリティワークショップ: NIST-NSF合同ワークショップ報告書

こんにちは、丸山満彦です。

米国連邦政府の決算期は10月1日−9月30日ですので。。。急にいろいろと駆け込みでね。。。どこの国も同じかもですね。。。

 

● NIST - ITL

・2023.09.26 NIST IR 8476 3rd High-Performance Computing Security Workshop: Joint NIST-NSF Workshop Report

 

NIST IR 8476 3rd High-Performance Computing Security Workshop: Joint NIST-NSF Workshop Report NIST IR 8476 第3回高性能コンピューティングセキュリティワークショップ: NIST-NSF合同ワークショップ報告書
Abstract 概要
High-performance computing (HPC) is a vital computational infrastructure for processing large data volumes, performing complex simulations, and conducting advanced machine learning model training. As such, HPC is a critical component of scientific discovery, innovation, and economic competitiveness. Cybersecurity thus plays an important role in HPC by safeguarding against abuse and misuse and ensuring data and research integrity. However, HPC systems often have unique hardware, software, and user environments that pose distinct cybersecurity challenges. This collaborative workshop gathered stakeholders from government, academia, and industry to discuss community needs, ongoing activities, and future directions in HPC security. This public workshop report provides detailed summaries of technical sessions, key takeaways from breakout sessions, and a summary of the keynote presentations. ハイパフォーマンス・コンピューティング(HPC)は、大量のデータを処理し、複雑なシミュレーションを実行し、高度な機械学習モデルのトレーニングを行うために不可欠な計算インフラである。そのため、HPCは科学的発見、イノベーション、経済競争力の重要な要素となっている。そのためサイバーセキュリティは、悪用や誤用から保護し、データと研究の完全性を確保することで、HPCにおいて重要な役割を果たしている。しかし、HPCシステムには独特のハードウェア、ソフトウェア、ユーザー環境が存在することが多く、サイバーセキュリティに特有の課題がある。この共同ワークショップでは、政府、学術界、産業界から関係者を集め、HPCセキュリティにおけるコミュニティのニーズ、進行中の活動、将来の方向性について議論した。この公開ワークショップの報告書では、テクニカルセッションの詳細な要約、分科会の主要な要点、および基調講演の要約を提供する。

 

・[PDF] NIST.IR.8476

20230930-45219

目次...

1. Introduction: Workshop Objective, Participants, and Agenda 1. 序文 ワークショップの目的、参加者、アジェンダ
2. Workshop Session Highlights and Summaries 2. ワークショップ・セッションのハイライトとサマリー
2.1. HPC Architecture and Security Posture 2.1. HPCアーキテクチャとセキュリティ体制
2.2. HPC Operator Security Experience 2.2. HPCオペレーターのセキュリティ経験
2.3. Risk Management Framework Development, Implementation, and Assessment 2.3. リスクマネジメントフレームワークの開発、実施、アセスメント
2.3.1. Presentation on the Trusted CI Framework 2.3.1. 信頼されるCIフレームワークに関するプレゼンテーション
2.3.2. Presentation on the Development of TOSS 4 STIG 2.3.2. TOSS 4 STIGの開発に関するプレゼンテーション
2.3.3. Panel Discussion 2.3.3. パネルディスカッション
2.4. HPC Security Research 2.4. HPCセキュリティ研究
2.5. HPC Vendor Viewpoints 2.5. HPCベンダーの視点
3. Breakout Session Key Takeaways 3. ブレークアウトセッション
3.1. HPC System Vulnerabilities and Threats 3.1. HPCシステムの脆弱性と脅威
3.2. HPC RMF: Challenges and Opportunities 3.2. HPC RMF:課題と機会
3.3. HPC Security Implementations, Best Practices, and Challenges 3.3. HPCセキュリティの実装、ベストプラクティス、および課題
3.4. Future HPC System and Its Implications for Security 3.4. 将来のHPCシステムとセキュリティへの影響
3.4.1. Hardware 3.4.1. ハードウェア
3.4.2. Software 3.4.2. ソフトウェア
3.4.3. Policy 3.4.3. ポリシー
4. Keynote Summary 4. 基調講演の概要
4.1. Keynote 1 — The NSF HPC Security Landscape: Research Challenges to Production Capabilities 4.1. 基調講演 1 - NSF HPC のセキュリティ状況: 生産能力への研究課題
4.2. Keynote 2 — DoE’s Office of Science HPC Cybersecurity 4.2. 基調講演 2 - DoE's Office of Science HPC サイバーセキュリティ
4.3. Keynote 3 — Usable Computer Security and Privacy to Enable Data Sharing in HighPerformance Computing Environments 4.3. 基調講演 3 - 高性能コンピューティング環境におけるデータ共有を可能にする利用可能なコンピュータセキュリティとプライバシー

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.21 CSA ハイパフォーマンス・コンピューティング机上演習ガイド

・2023.02.08 NIST SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態

 

 

| | Comments (0)

2023.09.29

日本銀行金融研究所 量子コンピュータが暗号に及ぼす影響にどう対処するか:海外における取組み

こんにちは、丸山満彦です。

先日、Entrsut Japanで講演をさせていただいたのですが、Entrustの技術責任者の方と時間があり、耐量子暗号への移行についての話をしました。やることは、明確なのだけれども、その準備と実施が大変だという話をしていました。なので、時間をとって準備をきっちりしないとね。。。という結論でしたね。。。

2025年の米国連邦政府のセキュリティ予算の優先4の項目としてあがっていますよね。。。耐量子暗号への移行の話。。。

 

さて、日本銀行金融研究所が、ディスカッションペーパーとセミナー資料を公表していますね。。。

安定の宇根さんのペーパーはもちろん重要ですが、菅野さんのハイブリッドモードの話がわかりやすくて参考になりました!

 

ディスカッションペーパー

・2023.09.27 量子コンピュータが暗号に及ぼす影響にどう対処するか:海外における取組み (宇根正志)

・[PDF]

20230929-54056

 

セミナー...

・2023.09.21 情報セキュリティ・セミナー「量子コンピュータが暗号を解読する日はくるのか?~耐量子計算機暗号(PQC)への移行に向けた取組み~」

講演1:宇根 正志 (日本銀行 金融研究所 参事役)

概要:海外では、PQCへの移行に向けた検討が活発化しています。米国ではPQCの標準化が進められているほか、欧州の主要国等でも暗号移行などの検討の実施が推奨されています。また、金融業界においても、FS-ISAC*が、PQCへの移行に関する検討を進めています。本講演では、量子コンピュータによる暗号解読のリスクや対応に関するスタンス、PQCへの移行を検討する際の推奨事項に関して、海外の動向を紹介するともに、金融分野において対応を検討する際の留意事項や課題を考察しました。

・[PDF] 海外における耐量子計算機暗号(PQC)への移行を見据えた取組み

20230929-54901

 

講演2:菅野 哲 氏(GMOサイバーセキュリティ byイエラエ株式会社 取締役CTO of Development)

概要:量子コンピュータによる暗号の危殆化を見据えてPQCへ暗号移行する際の対応策の1つとして「ハイブリッドモード」が提案されています。これは、現行暗号とPQCを併用することで、いずれかの暗号方式が安全でなくなった場合やPQCに完全移行していない状況であっても安全性を維持する方法です。本講演では、ハイブリッドモードの標準化に向けた動向や、オープンソースソフトウェア(OSS)など技術面の実装状況について紹介しました。

・[PDF] 耐量子計算機暗号(PQC)への暗号移行に向けた技術動向

20230929-54912

 


 

・2023.08.25 米国 NIST パブコメ FIPS 203 モジュール・ラティス・ベースの鍵カプセル化メカニズム標準, FIPS 204 モジュール-格子ベース電子署名標準, FIPS 205 ステートレス・ハッシュベース・デジタル署名標準

・2023.08.22 米国 CISA NSA NIST 量子対応:耐量子暗号への移行

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.06.09 NIST SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書 (2023.05.30)

・2023.05.27 英国 Oxford AcademicのJournal of Cybersecurity, Volume 9, Issue 1の記事はどれも興味深い...

・2023.04.26 米国 NIST SP 1800-38A「耐量子暗号への移行」の初期ドラフト

・2023.04.14 オランダ 耐量子暗号への移行等に関するハンドブック

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.02.08 中国 データセキュリティ産業の発展促進に関する16部署の指導意見 (2023.01.14)

・2022.10.21 ENISA ポスト量子暗号 - 統合研究

・2022.10.02 NIST SP 800-220 2021年度サイバーセキュリティ・プライバシー年次報告書 (2022.09.26)

・2022.10.02 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告(参考文献の追加)

・2022.09.09 米国 NSA 国家安全保障システムのための将来の耐量子(QR)アルゴリズム要件を発表

・2022.07.07 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告

・2022.05.05 米国 国家量子推進諮問委員会の強化に関する大統領令

・2022.03.05 NATO サイバーセキュリティセンター 量子コンピュータの攻撃に耐えられるセキュアネットワークの実験に成功

・2021.12.20 ドイツ BSI 量子セキュア暗号の現状に関するガイドライン

・2021.10.26 Cloud Security Alliance 量子後の世界への実践的な備え at 2021.10.19

・2021.10.06 米国 DHS CISA 量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンス

・2021.04.29 NIST White Paper ポスト量子暗号への備え:ポスト量子暗号アルゴリズムの採用と使用に関連する課題の調査

・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」

 

 

| | Comments (0)

米国 中国 経済・金融作業部会の設置 (2023.09.22)

こんにちは、丸山満彦です。

デカップリングとかいう話もでてきますが、おそらくそれは極限られた領域で、米国圏と中国圏と世界を真っ二つにわけることは、普通の人にとってはやるべきではないと思っているでしょうね。それはおそらく、米国でも中国でも同じ。。。多くの国民にとって、政治問題よりも、国民の生命が重要(特に中国は一人っ子政策をとった時代がありますしね。。。)、そして、国民の経済。。。米国の場合、国民の財産の多くは企業への投資になっているので、戦争等によって世界経済が傾くと、大きな損失がでますからね。。。

ということもあるのでしょうか?

米国と中国で、経済・金融作業部会というのが設置されますね。。。これは、既定路線を実行に移したということですね。。。

経済作業部会は、米国財務省+中国財政部、金融作業部会は、米国財務省+中国人民銀行、ということのようです。。。

 

米国側(財務省の発表...)


・2023.09.22 Treasury Department Announces Launch of Economic and Financial Working Groups with the People’s Republic of China

Treasury Department Announces Launch of Economic and Financial Working Groups with the People’s Republic of China 財務省、中華人民共和国との経済・金融作業部会の発足を発表
Today, the United States and the People’s Republic of China launched an Economic Working Group and a Financial Working Group under the direction of Secretary of the Treasury Janet Yellen and Vice Premier He Lifeng. The two Working Groups will provide ongoing structured channels for frank and substantive discussions on economic and financial policy matters, as well as an exchange of information on macroeconomic and financial developments. The formation of these Working Groups builds on the consensus reached between Secretary Yellen and Vice Premier He during the Secretary’s trip to Beijing in July, and carries out President Biden’s directive to deepen communication between the two countries following his meeting with President Xi in Bali last year. 本日、米国と中華人民共和国は、ジャネット・イエレン財務長官と何立峰副首相の指揮の下、経済作業部会と金融作業部会を発足させた。この2つの作業部会は、率直かつ実質的な協議のための継続的な構造的チャンネルを提供する。2つの作業部会は、経済・金融政策に関する率直で実質的な議論や、マクロ経済・金融情勢に関する情報交換のための継続的な構造的チャンネルを提供する。これらの作業部会の設置は、イエレン副総理が7月に北京を訪問した際に、イエレン副総理と何副総理との間で合意された内容に基づくものでり、昨年の習主席とのバリでの会談後、両国のコミュニケーションを深めるというバイデン大統領の指示を実行するものである。
The Economic Working Group will be led by the U.S. Department of the Treasury and China’s Ministry of Finance. The Financial Working Group will be led by the U.S. Department of the Treasury and the People’s Bank of China. The two groups will meet at the Vice Minister level on a regular cadence and report to Secretary Yellen and Vice Premier He. 経済作業部会は米財務省と中国財政部が主導する。金融作業部会は、米財務省と中国人民銀行が主導する。この2つの作業部会は定期的に次官レベルで会合を開き、イエレン長官と何副首相に報告する。

 

中国側 (財政部)

中华人民共和国财政部

・2023.09.22 中美成立经济领域工作组

中美成立经济领域工作组 中米、経済分野の作業部会を設置
新华社北京9月22日电 记者22日从财政部获悉,为落实中美两国元首巴厘岛会晤重要共识,根据国务院副总理、中美经贸中方牵头人何立峰与美国财政部部长珍妮特·耶伦达成的共识,中美双方商定,成立经济领域工作组,包括“经济工作组”和“金融工作组”。“经济工作组”由中美两国财政部副部长级官员牵头,“金融工作组”由中国人民银行和美国财政部副部长级官员牵头。两个工作组将定期、不定期举行会议,就经济、金融领域相关问题加强沟通和交流。 北京9月22日(新華社) -- 記者は9月22日、財政部から得た情報によると、中米両国首脳のバリ会談の重要なコンセンサスを実行に移すため、国務院副総理、中米経済貿易指導者の何立峰氏とイエレン米財務長官との合意により、中米両国は「経済作業部会」と「金融作業部会」を含む経済分野の作業部会を設置することで合意した。 経済作業部会」と「金融作業部会」である。 「経済作業部会」は中国と米国の財務省の副大臣級職員が、「金融作業部会」は中国人民銀行と米国財務省の副大臣級職員がそれぞれ主導する。 この2つの作業部会は、定期的・不定期に会合を開き、経済・金融分野に関連する問題についての意思疎通と交流を強化する。

 

中国人民銀行

・2023.09.22 中美成立经济领域工作组

中美成立经济领域工作组 中米、経済分野の作業部会を設置
为落实中美两国元首巴厘岛会晤重要共识,根据国务院副总理、中美经贸中方牵头人何立峰与美国财政部部长珍妮特·耶伦达成的共识,中美双方商定,成立经济领域工作组,包括“经济工作组”和“金融工作组”。“经济工作组”由中美两国财政部副部长级官员牵头,“金融工作组”由中国人民银行和美国财政部副部长级官员牵头。两个工作组将定期、不定期举行会议,就经济、金融领域相关问题加强沟通和交流。  中米両国首脳のバリ会談の重要なコンセンサスを実行に移すため、国務院副総理、中米経済貿易指導者の何立峰氏とイエレン米財務長官との合意により、中米両国は「経済作業部会」と「金融作業部会」を含む経済分野の作業部会を設置することで合意した。 経済作業部会」と「金融作業部会」である。 「経済作業部会」は中国と米国の財務省の副大臣級職員が、「金融作業部会」は中国人民銀行と米国財務省の副大臣級職員がそれぞれ主導する。 この2つの作業部会は、定期的・不定期に会合を開き、経済・金融分野に関連する問題についての意思疎通と交流を強化する。

 

 

1_20230929050301


 

JETRO

・2023.09.27 中国政府、米国と経済・金融ワーキンググループ設置

・2023.09.25 米財務省、中国と経済・金融に関するワーキンググループを設置


| | Comments (0)

2023.09.28

警察庁 NISC 中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について with 米国 NSA, FBI, CISA

こんにちは、丸山満彦です。

日本も、サイバー攻撃者についてのパブリックアトリビューションをしていくということですね。。。今回は、警察庁とNISCが、米国家安全保障局(NSA)、米連邦捜査局(FBI)及び米国土安全保障省サイバーセキュリティ・インフラ庁(CISA)とともに、中国を背景とするサイバー攻撃グループ「BlackTech」(ブラックテック)によるサイバー攻撃に関する合同の注意喚起を発出しています。。。

国際連携は重要ですね。。。

 

警察庁 - サイバー警察局

・2023.09.27 中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について

・[PDF

20230928-62258

 

NISC

・2023.09.27 中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について 注意喚起

 

 


米国側...

NSA

・2023.09.27 U.S. and Japanese Agencies Issue Advisory about China Linked Actors Hiding in Router Firmware

U.S. and Japanese Agencies Issue Advisory about China Linked Actors Hiding in Router Firmware ルーター・ファームウェアに潜む中国関連行為者について日米の機関が勧告を発表
FORT MEADE, Md. - The National Security Agency (NSA), U.S. Federal Bureau of Investigation (FBI), U.S. Cybersecurity and Infrastructure Security Agency (CISA), Japan National Police Agency (NPA), and Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) are releasing the joint Cybersecurity Advisory (CSA) “People’s Republic of China-Linked Cyber Actors Hide in Router Firmware” about the activities of BlackTech cyber actors. フォートミード(米マサチューセッツ州)- 国家安全保障局(NSA)、米国連邦捜査局(FBI)、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、警察庁、国家サイバーセキュリティ戦略センター(NISC)は、BlackTechサイバー行為者の活動に関する共同サイバーセキュリティ勧告(CSA)「中華人民共和国系サイバー行為者がルーターファームウェアに潜む」を発表した。
BlackTech, also known as Palmerworm, Temp. Overboard, Circuit Panda, and Radio Panda, has targeted government, industrial, technology, media, electronics, and telecommunication sectors. As a multinational threat linked to the People’s Republic of China (PRC), the actors have demonstrated capabilities in modifying router firmware without detection. BlackTechは、Palmerworm、Temp. Overboard、Circuit Panda、Radio Pandaとしても知られるBlackTechは、政府、産業、テクノロジー、メディア、エレクトロニクス、テレコミュニケーションの各セクターを標的としている。中華人民共和国(PRC)に関連する多国籍の脅威として、脅威行為者は検知されることなくルータのファームウェアを変更する能力を実証している。
The CSA details tactics, techniques, and procedures (TTPs) used by BlackTech actors to compromise international subsidiaries, as well as recommended detection and mitigation techniques to defend against this threat. The CSA also highlights the need for multinational corporations to review all subsidiary connections, verify access, and consider implementing zero trust models to limit the extent of a potential compromise.  CSA は、BlackTech の脅威行為者が国際的な子会社を侵害するために使用する戦術、技術、手順 (TTPs)、およびこの脅威を防御するために推奨される検知と低減技術について詳述している。CSA はまた、多国籍企業がすべての子会社との接続を見直し、アクセスを検証し、潜在的な侵害の範囲を限定するためにゼロ・トラスト・モデルの導入を検討する必要性を強調している。
“Cyber actors look for the easiest way into their targeted network, like a thief checking vehicles for unlocked doors,” said Rob Joyce, NSA Cybersecurity Director. “Raising awareness of this malicious activities helps with not only hardening our defenses, but also those of our international allies, critical infrastructure, and private sector organizations.  We need to keep these actors out of our networks.”   「NSA サイバーセキュリティ・ディレクターのロブ・ジョイスは、「サイバー行為者は、泥棒が車のドアに鍵がかかっていないかチェックするように、標的のネットワークに最も簡単に侵入できる方法を探している。「このような悪質な行為に対する認識を高めることは、我々の防衛を強化するだけでなく、国際的な同盟国、重要なインフラ、民間組織の防衛にも役立つ。 我々は、このような行為者を我々のネットワークから締め出す必要がある。 
As indicated in the CSA, the BlackTech actors target network routers typically used at remote branch offices to connect to corporate networks. The actors have compromised several Cisco routers using variations of TTPs to conceal configuration changes, hide commands, disable logging, and pivot between international subsidiaries’ and domestic headquarters’ networks. CSA に示されているように、BlackTech の行為者は、通常、リモート支店で企業ネットワークに接続するために使用されるネットワーク・ルータを標的としている。この行為者は、コンフィギュレーション変更の隠蔽、コマンドの隠蔽、ロギングの無効化、海外子会社と国内本社のネットワーク間のピボットのためのTTPのバリエーションを使用して、複数のCiscoルータを侵害した。
Some of the TTPs mentioned in the CSA and used by this actor group include modifying router firmware to establish backdoors and persistence, pivoting using internal routers, and living off the land tactics to blend in with normal operating system and network activities to evade endpoint detection and response (EDR) products. BlackTech has also used a range of custom malware to target Windows, Linux, and FreeBSD operating systems. CSA で言及され、この行為者グループが使用した TTP の一部には、バックドアと永続性を確立するためにルータのファームウェアを変更すること、内部ルータを使用してピボットすること、エンドポイント検知および応答(EDR)製品を回避するために通常のオペレーティング・システムとネットワーク・アクティビティに紛れ込むために現地調達型戦術が含まれる。BlackTechはまた、Windows、Linux、およびFreeBSDオペレーティングシステムを標的とするさまざまなカスタムマルウェアも使用している。
"Subsidiaries of multinational corporations are attractive targets for threat actors," said Joyce. "The security of these subsidiaries' IT environments are sometimes overlooked, posing a significant risk for the critical systems of their international partners. We need to continue to be vigilant and work together across international industry and government to effectively implement best practices to secure vital IT environments." 「多国籍企業の子会社は、脅威行為者にとって魅力的な標的である。「これらの子会社のIT環境のセキュリティは、時に見過ごされ、国際的なパートナーの重要なシステムに重大なリスクをもたらしている。重要なIT環境を保護するためのベストプラクティスを効果的に実施するために、国際的な産業界と政府が協力して警戒を続ける必要がある。
The authoring agencies recommend implementing the mitigations in the CSA to detect malicious activities and protect devices from being compromised by BlackTech actors. 作成機関は、悪意のある活動を検知し、BlackTech の行為者によってデバイスが侵害されないように保護するために、CSA の軽減策を実施することを推奨している。
For additional information and examples of similar actors and activities, see “People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices” and “People’s Republic of China State-Sponsored Cyber Actors Living off the Land to Evade Detection.” その他の情報および類似の行為者と活動の例については、"People's Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices" および "People's Republic of China State-Sponsored Cyber Actors Living Off the Land to Evade Detection" を参照のこと。

 

 

CISA

・2023.09.27 NSA, FBI, CISA, and Japanese Partners Release Advisory on PRC-Linked Cyber Actors

 

NSA, FBI, CISA, and Japanese Partners Release Advisory on PRC-Linked Cyber Actors NSA、FBI、CISA、および日本のパートナーが、中国に関連するサイバー行為者に関する勧告を発表
Today, the U.S. National Security Agency (NSA), Federal Bureau of Investigation (FBI), and Cybersecurity and Infrastructure Security Agency (CISA), along with the Japan National Police Agency (NPA) and the Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) released joint Cybersecurity Advisory (CSA) People's Republic of China-Linked Cyber Actors Hide in Router Firmware. The CSA details activity by cyber actors, known as BlackTech, linked to the People’s Republic of China (PRC). The advisory provides BlackTech tactics, techniques, and procedures (TTPs) and urges multinational corporations to review all subsidiary connections, verify access, and consider implementing zero trust models to limit the extent of a potential BlackTech compromise. 本日、米国国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・インフラフラセキュリティ戦略局(CISA)は、警察庁、サイバーセキュリティ戦略センター(NISC)とともに、共同サイバーセキュリティ勧告(CSA)「ルーターのファームウェアに潜む中華人民共和国関連のサイバー行為者」を発表した。CSAは、中華人民共和国(PRC)に関連するBlackTechとして知られるサイバー行為者の活動について詳述している。この勧告は、BlackTech の戦術、技術、手順(TTP)をプロバイダとして提供し、多国籍企業に対し、BlackTech の潜在的な侵害の範囲を限定するために、すべての子会社接続を見直し、アクセスを検証し、ゼロ信頼モデルの導入を検討するよう促している。
BlackTech has demonstrated capabilities in modifying router firmware without detection and exploiting routers’ domain-trust relationships to pivot from international subsidiaries to headquarters in Japan and the United States, which are the primary targets. BlackTechは、検知されることなくルーターのファームウェアを変更し、ルーターのドメイン・トラスト関係を悪用して、国際的な子会社から主要な標的である日本や米国の本社にピボットする能力を実証している。
CISA strongly recommends organizations review the advisory and implement the detection and mitigation techniques described to protect devices and networks. For additional guidance, see People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices and visit CISA’s China Cyber Threat Overview and Advisories page. CISAは、組織がこの勧告を確認し、デバイスとネットワークを保護するために、説明されている検知と低減のテクニックを実施することを強く推奨する。その他のガイダンスについては、「中華人民共和国国家に支援されたサイバー脅威行為者がネットワーク・プロバイダとデバイスを悪用」を参照し、CISAの「中国のサイバー脅威の概要と勧告」のページを参照されたい。

 

・[PDF]

20230928-62956

 

 

 

 

| | Comments (0)

英国 防衛関係者向け安全保障通知:防衛請負業者が防衛関連の機密資料に影響を及ぼすすべてのセキュリティ事故を国防総省に報告するための要件, セキュリティー面に関する書簡と契約上のセキュリティー条件

こんにちは、丸山満彦です。

2010年から英国では防衛関係者向けの業界安全保障通知を出して、リストとして公表していますね。。。2023.09.26には

  • 防衛請負業者が防衛関連の機密資料に影響を及ぼすすべてのセキュリティ事故を国防総省に報告するための要件
  • セキュリティー面に関する書簡と契約上のセキュリティー条件

の二つの通知がだされていますが、連絡先の電話番号が変わったので、変更されているというものでした。。。

(2023/5 -> 2023/11, 2023/8 -> 2023/12)

が、せっかくなので参考になることもあるかと思い、備忘録的に...

 

U.K. Gov - Government - Cyber security - Guidance Industry Security Notice (ISN)

・2023.09.26 [PDF] ISN 2023/11 Requirement for defence contractors to report all security incidents affecting defence-related classified material to the MOD

 [downloaded]

20230928-43841

・[DOCX] 仮訳

 

 

・2023.09.26 [PDF] ISN 2023/12 ISN 2023/12 Security Aspects Letters and Contractual Security Conditions

[downloaded]

20230928-43856

・[DOCX] 仮訳

 

| | Comments (0)

2023.09.27

世界経済フォーラム (WEF) 大規模言語モデル (LLM) と仕事

こんにちは、丸山満彦です。

世界経済フォーラムが、アクセンチュアと共同で、ChatGPTに代表される、大規模言語モデル(LLM)が仕事に与える潜在的な影響について考察していますね。。。幅広く分析していて、興味深いです。。。

自動車、コンピュータ、インターネット等が出てきた時と同じで、人間がいかにそれらの道具を使うのか、、、という観点で考えると、過度に恐れる必要はないということだと思います。ただ、細かくみていくと、自動車の登場、普及により馬車はなくなり、音楽配信サービスにより音楽CDの販売は激減し、スマートフォンの普及とともに、フィルムカメラはなくなった、、、というようなことは起こり得るでしょうね。。。

 

World Economic Forum - Report

・2023.09.18 Jobs of Tomorrow: Large Language Models and Jobs

 

・[PDF

20230927-145747

 

目次...

Foreword まえがき
Executive summary 要旨
Introduction: How will large language models impact the jobs of tomorrow?  序文:大規模言語モデルは明日の仕事にどのような影響を与えるか?
1 Identifying exposure potential of tasks and jobs 1 仕事とタスクの危険の可能性を識別する
1.1 Exposed tasks 1.1 危険にさらされるタスク
1.2 Detailed examples of exposed jobs 1.2 危険にさらされる仕事の詳細な例
1.3 Analysis by occupation 1.3 職業別の分析
1.4 Analysis by industry 1.4 産業別の分析
1.5 Analysis by function 1.5 機能別の分析
2 LLMs and the growth and decline of jobs and tasks 2 LLMと仕事・業務の増加・減少
2.1 Expected growth and decline of tasks 2.1 期待される仕事の増加と減少
2.2 Expected growth and decline of jobs 2.2 期待される仕事の増加と減少
Conclusion: Ensuring that large language models work for workers 結論 大規模言語モデルを労働者のために機能させる
Appendices 附属書
A1  Exposure potential by industry groups A1 産業グループ別のエクスポージャーの可能性
A2  Exposure potential by function groups A2 機能グループ別のエクスポージャーの可能性
A3  Methodology A3 方法論
Contributors  貢献者 
Endnotes 巻末資料

 

 

エグゼクティブサマリー...

Executive summary 要旨
As advances in generative artificial intelligence (AI)continue at an unprecedented pace, large language models (LLMs) are emerging as transformative tools with the potential to redefine the job landscape. The recent advancements in these tools, like GitHub’s Copilot, Midjourney and ChatGPT, are expected to cause significant shifts in global economies and labour markets. These particular technological advancements coincide with a period of considerable labour market upheaval from economic, geopolitical, green transition and technological forces. The World Economic Forum’s Future of Jobs Report 2023 predicts that 23% of global jobs will change in the next five years due to industry transformation, including through artificial intelligence and other text, image and voice processing technologies. 生成的人工知能(AI)の進歩がかつてないペースで進む中、大規模言語モデル(LLM)は、仕事の風景を再定義する可能性を秘めた変革ツールとして台頭しつつある。GitHubのCopilot、Midjourney、ChatGPTのようなこれらのツールの最近の進歩は、世界経済と労働市場に大きな変化をもたらすと期待されている。こうした特殊な技術の進歩は、経済的、地政学的、グリーンな移行、技術的な力によって労働市場が大きく変動する時期と重なる。世界経済フォーラムの「雇用の未来レポート2023」は、人工知能やその他のテキスト、画像、音声処理技術を含む産業変革により、今後5年間で世界の雇用の23%が変化すると予測している。
This white paper provides a structured analysis of the potential direct, near-term impacts of LLMs on jobs. With 62% of total work time involving languagebased tasks,1 the widespread adoption of LLMs, such as ChatGPT, could significantly impact a broad spectrum of job roles. このホワイトペーパーは、LLMが雇用に与える直接的かつ短期的な影響の可能性について、構造的な分析を提供している。全労働時間の62%が言語ベースのタスクであり1、ChatGPTのようなLLMの普及は、幅広い職務に大きな影響を与える可能性がある。
To assess the impact of LLMs on jobs, this paper provides an analysis of over 19,000 individual tasks across 867 occupations, assessing the potential exposure of each task to LLM adoption, classifying them as tasks that have high potential for automation, high potential for augmentation, low potential for either or are unaffected (non-language tasks). The paper also provides an overview of new roles that are emerging due to the adoption of LLMs. 本稿では、LLMが職務に与える影響を評価するため、867の職種にわたる19,000以上の個別タスクの分析を行い、各タスクがLLMの採用によりどのようなエクスポージャーを受ける可能性があるかを評価し、自動化の可能性が高いタスク、拡張の可能性が高いタスク、どちらの可能性も低いタスク、影響を受けないタスク(非言語タスク)に分類している。また、LLMの採用により新たに出現しつつある役割についても概観している。
The longer-term impacts of these technologies in reshaping industries and business models are beyond the scope of this paper, but the structured approach proposed here can be applied to other areas of technological change and their impact on tasks and jobs. 産業やビジネスモデルの再構築におけるこれらの技術の長期的な影響については、本稿の範囲外であるが、ここで提案した構造化アプローチは、技術革新の他の分野や、それらがタスクや仕事に与える影響にも適用できる。
The analysis reveals that tasks with the highest potential for automation by LLMs tend to be routine and repetitive, while those with the highest potential for augmentation require abstract reasoning and problem-solving skills. Tasks with lower potential for exposure require a high degree of personal interaction and collaboration. 分析の結果、LLMによって自動化される可能性が最も高いタスクは、定型的で反復的である傾向があり、一方、拡張される可能性が最も高いタスクは、抽象的な推論と問題解決能力を必要とすることが明らかになった。エクスポージャーの可能性が低い仕事は、高度な個人的交流や共同作業を必要とする。
– The jobs ranking highest for potential automation are Credit Authorizers, Checkers and Clerks (81% of work time could be automated), Management Analysts (70%), Telemarketers (68%), Statistical Assistants (61%), and Tellers (60%). ・自動化の可能性が最も高い職種は、クレジット・オーソライザー、チェッカー、クラーク(作業時間の81%が自動化可能)、マネジメント・アナリスト(70%)、テレマーケター(68%)、統計アシスタント(61%)、テラー(60%)である。
– Jobs with the highest potential for task augmentation emphasize mathematical and scientific analysis, such as Insurance Underwriters (100% of work time potentially augmented), Bioengineers and Biomedical Engineers (84%), Mathematicians (80%), and Editors (72%). ・タスク増強の可能性が最も高い職種は、保険引受人(作業時間の100%が増強される可能性あり)、バイオエンジニアとバイオメディカルエンジニア(84%)、数学者(80%)、編集者(72%)など、数学的・科学的分析を重視する職種である。
– Jobs with lower potential for automation or augmentation are jobs that are expected to remain largely unchanged, such as Educational, Guidance, and Career Counsellors and Advisers (84% of time spent on low exposure tasks), Clergy (84%), Paralegals and Legal Assistants (83%), and Home Health Aides (75%). ・自動化や増強の可能性が低い職種は、教育・指導・キャリアカウンセラーやアドバイザー(エクスポージャーが低い業務に費やされる時間の84%)、聖職者(84%)、パラリーガルやリーガルアシスタント(83%)、ホームヘルスの補助員(75%)など、ほとんど変わらないと予想される職種である。
– In addition to reshaping existing jobs, the adoption of LLMs is likely to create new roles within the categories of AI Developers, Interface and Interaction Designers, AI Content Creators, Data Curators, and AI Ethics and Governance Specialists. ・LLMの採用は,既存の職種の再形成に加え,AI開発者,インターフェイス・インタラクション・デザイナー,AIコンテンツ・クリエーター,データ・キュレーター,AI倫理・ガバナンス・スペシャリストといったカテゴリーに新たな役割を生み出す可能性がある。
– An industry analysis is done by aggregating potential exposure levels of jobs to the industry level, noting that jobs may exist in more than one industry. Results reveal that the industries with the highest estimates of total potential exposure (automation plus augmentation measures) are both segments of financial services: financial services and capital markets and insurance and pension management. This is followed by information technology and digital communications, and then media, entertainment and sports. Additional lists of jobs ranked by highest exposure potential for each major industry category are compiled in the appendix. ・産業分析は、潜在的なエクスポージャーのレベルを産業レベルに集約することによって行われる。その結果、潜在的エクスポージャーの合計(自動化+補強措置)が最も高い業種は、金融サービスの両セグメント、すなわち金融サービス・資本市場と保険・年金管理であることが明らかになった。次いで、IT・デジタルコミュニケーション、メディア・エンターテインメント・スポーツの順となった。各主要産業カテゴリーについて、エクスポージャーの可能性が最も高い職種をランク付けしたリストは、附属書にまとめた。
– Similarly, a function group analysis reveals that the two thematic areas with the greatest total potential exposure to LLMs are information technology, with 73% of working hours exposed, and finance, with 70% of working hours exposed. As with the industry groups, additional lists of jobs ranked by highest exposure potential for each function group are compiled in the Appendices. ・同様に、機能別グループ分析によると、LLMへのエクスポージャーの可能性が最も高い2つのテーマ分野は、情報技術で、労働時間の73%、金融で、労働時間の70%である。業種別グループと同様に、各機能グループごとにエクスポージャーの可能性が最も高い職種をランク付けしたリストを附属書にまとめた。
– These new findings connect directly to earlier work done by the Centre for the New Economy and Society in the Future of Jobs Report 2023. Many of the jobs found to have high potential for automation by LLMs were also expected by business leaders to undergo employment decline within the next five years, such as bank tellers and related clerks, data entry clerks, and administrative and executive secretaries. Meanwhile, jobs with high potential for augmentation are expected to grow, such as AI and Machine Learning Specialists, Data ・これらの新たな調査結果は,新経済社会研究センターが以前に発表した「雇用の未来レポート2023」に直接つながるものである。LLMによって自動化の可能性が高いとされた職種の多くは,銀行窓口係や関連事務員,データ入力事務員,事務・役員秘書など,ビジネスリーダーによって今後5年以内に雇用が減少すると予想された職種でもある。一方,AIや機械学習のスペシャリスト,データアナリストやサイエンティスト,データベースやエグゼクティブセクレタリーなど,人員増強の可能性が高い職種は成長すると予想されている。
Analysts and Scientists, and Database and Network Professionals. Together, these two publications identify and reaffirm salient themes in the connection between technological change and labour market transformation. アナリスト・科学者、データベース・ネットワーク・プロフェッショナルなどである。これら2つの出版物を合わせると、技術革新と労働市場の変革の関連性において顕著なテーマを特定し、再確認することができる。
The findings of this report shed light on how implementing LLMs could alter the landscape of jobs, providing valuable insights for policy-makers, educators and business leaders. Rather than leading to job displacement, LLMs may usher in a period of task-based transformation of occupations, requiring proactive strategies to prepare the workforce for these jobs of tomorrow. 本レポートの調査結果は、LLMの導入がどのように雇用の風景を変える可能性があるかに光を当て、政策立案者、教育者、ビジネスリーダーに貴重な洞察を提供している。LLMは、雇用の置き換えにつながるのではなく、タスクベースの職業変革の時代の到来を告げるかもしれない。

 

 

| | Comments (0)

米国 行政管理局 (OMB) M-23-22 デジタルファーストの公共体験の提供(日本政府の職員も是非読んでください...)(2023.09.22)

こんにちは、丸山満彦です。

行政管理局 (OMB) が覚書 M-23-22 デジタルファーストの公共体験の提供 を公表していますね。。。これが非常に良いです。日本政府の職員も是非読んだ方がよいです。。。特にデジタル庁の職員なんかは参考になると思うなぁ。。。あくまでも参考書としてですけど。。。

 

● U.S. White House - OMB

・2023.09.22 [PDF] M-23-22 Delivering a Digital-First Public Experience 

20230927-135713

・[DOCX] 仮訳

 

目次的なもの...

I. INTRODUCTION I. はじめに
II. SCOPE AND APPLICABILITY II.範囲と適用性
A. Definitions A.定義
III. DELIVERING A DIGITAL-FIRST PUBLIC EXPERIENCE III.デジタル・ファーストの公共体験を提供する
A. Requirements for Websites and Digital Services A.ウェブサイトとデジタルサービスの要件
1. Accessible to People of Diverse Abilities 1.多様な能力を持つ人々が利用しやすい
2. Consistent Visual Design and Agency Brand Identity 2.一貫したビジュアル・デザインと政府機関・ブランド・アイデンティティ
3. Content That Is Authoritative and Easy to Understand 3.権威があり、理解しやすいコンテンツ
a. One Answer a.ひとつの回答
b. Plain Language b.平易な言語
c. Translation and Localization c.翻訳とローカリゼーション
d. Content Governance d.コンテンツ・ガバナンス
e. Public Awareness Campaigns e.啓発キャンペーン
4. Information and Services That Are Discoverable and Optimized for Search 4.発見可能で検索に最適化された情報とサービス
5. Secure by Design, Secure by Default 5.セキュア・バイ・デザイン、セキュア・バイ・デフォルト
6. User-Centered and Data-Driven Design 6.ユーザー中心設計とデータ駆動設計
7. Customized and Dynamic User Experiences 7.カスタマイズされたダイナミックなユーザー体験
8. Mobile-First Design That Scales Across Varying Device Sizes 8.多様なデバイスサイズに対応するモバイルファースト設計
9. Other Digital Experience Requirements 9.その他のデジタル経験要件
a. Privacy a.プライバシー
b. Software Development Principles b.ソフトウェア開発原則
c. Required Links c.必須リンク
B. Digitization of Forms and Services B.フォームとサービスのデジタル化
1. Forms 1.フォーム
2. Services 2.サービス
3. Signatures 3.署名
C. Customer Experience and Digital Service Delivery C.カスタマー・体験とデジタル・サービス・デリバリー
D. Standardization D.標準化
IV. ENSURING AGENCIES DELIVER INTEGRATED DIGITAL EXPERIENCES IV.政府機関が統合されたデジタル体験を提供できるようにする
A. Immediate Agency Actions A.政府機関の緊急措置
B. Immediate Government-Wide Actions B.政府全体の緊急措置
C. Ongoing Agency Assessment and Reporting Requirements C.継続的な政府機関の評価と報告要件
D. Policy Assistance D.政策支援

 

 

| | Comments (0)

米国 国家情報局 ナカソネ将官、サイバーセキュリティとシギントの将来について洞察を語る

こんにちは、丸山満彦です。

米サイバー司令部(USCYBERCOM)司令官、NSA長官、中央警備局(CSS)長官を務めるポール・M・ナカソネ将官が、今月初めにワシントンで開催された会議で、サイバーセキュリティとシグナルインテリジェンスの将来がどのようなものになるかについての洞察を述べていますね。。。

興味深いです。。。

 

National Security Agency/Central Security Service

・2023.09.21 GEN Nakasone Offers Insight into Future of Cybersecurity and SIGINT

 

GEN Nakasone Offers Insight into Future of Cybersecurity and SIGINT ナカソネ将官、サイバーセキュリティとシギントの将来について洞察を述べる
GEN Paul M. Nakasone, Commander of U.S. Cyber Command (USCYBERCOM), Director of NSA, and Chief of the Central Security Service (CSS), offered insight into what the future of cybersecurity and signals intelligence may look like during a conference in Washington earlier this month. 米サイバー軍(USCYBERCOM)司令官、NSA長官、中央情報局(CSS)長官を務めるポール・M・ナカソネ将官は、今月初めにワシントンで開催された会議で、サイバーセキュリティとシグナルズ・インテリジェンスの将来について見解を述べた。
Looking to the future, GEN Nakasone focused on what he called "the three P's": the imminent period of intense competition with the People's Republic of China (PRC); the need for persistent engagement with public-private partners; and the critical role that the next generation of people will have in providing the United States with a competitive advantage against its adversaries. それは、中華人民共和国(PRC)との熾烈な競争が間近に迫っていること、官民のパートナーとの持続的な関与の必要性、そして、敵対国に対して米国に競争上の優位性を提供する上で、次世代の人々が果たす重要な役割である。
"As we think about the future five years hence, I'm very encouraged. I am very, very optimistic," he said during a fireside chat at the annual Billington Cybersecurity Summit. "I look to the future, and I think that our Nation, obviously the folks that work here in the public and the private sector, will all be the beneficiaries." ナカソネ将官は、年次ビリントン・サイバーセキュリティ・サミットでの会談で次のように述べた。「5年後の未来について考えるとき、私はとても勇気づけられる。私は非常に、非常に楽観的だ。私は将来を見据えている。そして、わが国はもちろん、ここで働く官民の人々すべてがその恩恵にあずかることになると思う」。
When GEN Nakasone took the reins in 2018, he said the leading priority for the Command and Agency was securing the 2018 midterm elections. Since then, the continued rise of the PRC and Russia as global threats and the protection of critical systems and infrastructure from cyber threats have grown to become leading priorities. 2018年にナカソネ将官が就任したとき、彼は司令部の最優先事項は2018年の中間選挙の安全確保だと述べた。それ以来、グローバルな脅威としての中国とロシアの継続的な台頭と、サイバー脅威からの重要なシステムとインフラの保護が、主要な優先事項に成長した。
"Everything that we've done since, we weren't talking about in 2018," said GEN Nakasone, who explained how cybersecurity has become synonymous with national security during his time atop USCYBERCOM and NSA/CSS. "Now, if I would have said that in 2018, that probably would have raised a lot of eyebrows. But what have we seen since 2018? We've seen supply chain, we've seen zero days, we've seen ransomware, we've seen a number of different actors that have changed and really provided an inflection point for all of us to say, 'Hey, this is a national security issue, and we've got to treat it differently.'" ナカソネ将官は、サイバーセキュリティがUSCYBERCOMとNSA/CSSのトップ時代にいかに国家安全保障の代名詞となったかを説明した。「今、もし私が2018年にそう言っていたら、おそらく多くの眉をひそめていただろう。しかし、2018年以降、我々は何を見てきただろうか? サプライチェーン、
ゼロデイ、ランサムウェア、 さまざまなアクターが変化し、私たち全員が言うべき変曲点を提供した。これは国家安全保障に関わる問題であり、これまでとは異なる方法で対処しなければならない。」
The Challenge of Artificial Intelligence 人工知能の挑戦
At the Billington Cybersecurity Summit, GEN Nakasone revealed the blueprint for AI and machine learning that the Command and Agency will lean on moving forward. ビリントン・サイバーセキュリティ・サミットで、ナカソネ将官は、司令部とCIAが今後頼りにしていくAIと機械学習の青写真を明らかにした。
"Much in the sense that the private sector has been doing artificial intelligence for quite a while, we've been doing it for a long time, as well. It's something that we're familiar with," GEN Nakasone said.  "We use artificial intelligence primarily with our signals intelligence mission. Now, how do we look at it for our cybersecurity mission? How do we look at it differently for our cybersecurity mission?" ナカソネ将官は次のように述べた。「民間企業がかなり前から人工知能を導入しているのと同じように、我々もかなり前から導入している。人工知能は我々にとって馴染み深いものだ。 人工知能は主にシグナル・インテリジェンスの任務で使っている。では、サイバーセキュリティの任務のために人工知能をどう使うか?サイバーセキュリティの任務のために、どのように違った見方をするのか。」
"As we look at the future, we do see tremendous changes. We see the speed, coupled with the security, and coupled with the safeguards that we will ensure are put in place," he added, pointing to how Congress has also tasked USCYBERCOM with developing a five-year plan for AI. ". This is something that we will continue to work at very, very hard going into the future." 「将来を見据えたとき、我々は大きな変化を目の当たりにしている。われわれは、スピードとセキュリティと、そしてわれわれが確実に実施するセーフガードとを見ている」と彼は付け加え、議会がUSCYBERCOMにAIに関する5カ年計画の策定を課していることを指摘した。「これは、我々が将来に向けて、非常に、非常に懸命に取り組み続けるものだ」。
The Importance of FISA Section 702 Reauthorization FISA702条再承認の重要性
Leaning on quantitative and qualitative metrics and bolstered by declassified examples, GEN Nakasone took advantage of his participation in the fireside chat to highlight one of the Intelligence Community's most critical foreign intelligence authorities: Section 702 of the Foreign Intelligence Surveillance Act (FISA). ナカソネ将官は、定量的・定性的な指標に依拠し、機密解除された事例をもとに、情報コミュニティにとって最も重要な対外諜報権限のひとつを強調するために、ファイヤーサイドチャットへの参加を利用した: 外国情報監視法(FISA)第702条である。
According to GEN Nakasone, FISA Section 702 is an authority that ensures national security and the protection of civil liberties and privacy. ナカソネ将官によれば、FISA702条は国家安全保障と市民の自由とプライバシーの保護を保証する権限である。
"Of the things that we look at today, 702 reauthorization is among the most important national security issues I think our Nation faces," GEN Nakasone said at the conference. 「今日われわれが検討していることの中で、702条の再承認は、わが国が直面している最も重要な国家安全保障問題の一つである」とナカソネ将官は会議で述べた。
Among the metrics the Director shared was that FISA Section 702 contributes to 100% of NSA's reporting on the President's intelligence requirements. He noted that in 2022, 59% of the President's Daily Brief articles contained 702 information reported by NSA, and 20% of all NSA's reporting includes 702 acquired information. ナカソネ将官は、FISA702条がNSAの大統領情報要件報告の100%に寄与していることを示した。2022年には、大統領日報記事の59%にNSAが報告した702条情報が含まれており、NSAの全報告の20%に702条取得情報が含まれていると述べた。
GEN Nakasone also highlighted how FISA Section 702 provided insights into the Chinese origins of precursor chemicals key to the production of fentanyl — a drug responsible for more than 100,000 deaths in the U.S. last year. The authority also enabled the U.S. to recover the majority of the ransom from the Colonial Pipeline attack in 2021, and played a key role in the 2022 takedown of al-Qa'ida leader Ayman al-Zawahiri, according to GEN Nakasone. ナカソネ将官はまた、FISA第702条が、昨年米国で10万人以上の死者を出したフェンタニルの製造に重要な前駆体化学物質の中国の起源に関する洞察を提供したことを強調した。ナカソネ将官によれば、この権限はまた、2021年に米国がコロニアル・パイプライン攻撃の身代金の大半を回収することを可能にし、2022年のアルカーイダ指導者アイマン・アル・ザワヒリの逮捕に重要な役割を果たしたという。
"It's an authority that has saved lives and assured the protection of our homeland," he said. 「人命を救い、国土の保護を保証する権限だ」と彼は語った。

 

関連リンク

Preventing and Eradicating Cyber Threats

Collecting & Analyzing our Adversaries’ Moves

Customers & Partners

Operating Under Legal Authorities

 ・The Foreign Intelligence Surveillance Act of 1978 (FISA)

 

 

1_20230927053401

 

外国情報監視法についての説明。。。

INTEL.GOV FOREIGN INTELLIGENCE SURVEILLANCE ACT

Section 702

 

 

 

| | Comments (0)

2023.09.26

内閣官房 NISC 関係法令Q&Aハンドブック Ver 2.0

こんにちは、丸山満彦です。

内閣官房サイバーセキュリティセンターから、サイバーセキュリティ関連法令Q&Aハンドブック Ver2.0が公表されました。。。Q87まであります。。。

ハンドブックといいながら、手にはのらないほどの分量(453ページ)です(^^;;

ガイドラインや海外法令等にも一部触れられています。。。

作業班を中心に大変な作業となりました。。。原稿自体は2022年3月ごろにほぼ完成していたような。。。

なので、その後の安全保障関係、生成AI関係については、まだ十分な記載ができていない。。。

できたら、紙で印刷する前提的なPDFファイルではなく、マークアップ言語で作成して、多様な比較等ができるようになるとよいのですけどね。。。それは、今後の課題ということで。。。

そして、都度、更新...

 

内閣官房 NISC

・2023.09.25 関係法令Q&Aハンドブック


Q&Aで取り上げている主なトピックスについて

  1. サイバーセキュリティ基本法関連
  2. 会社法関連(内部統制システム等)
  3. インシデント対応関連総論(当局等対応、関係者対応)
  4. 個人情報保護法関連
  5. 不正競争防止法関連
  6. 労働法関連(秘密保持・競業避止等)
  7. 情報通信ネットワーク関連(IoT関連等を含む)
  8. 契約関連(電子署名、システム開発、クラウド等)
  9. 資格等(情報処理安全確保支援士等)
  10. その他各論(リバースエンジニアリング、暗号、情報共有、脅威インテリジェンス、データ消去等)
  11. インシデント対応関連(事後的対応等)(ランサムウェア対応、デジタル・フォレンジック、サイバー保険等を含む)
  12. 民事訴訟手続
  13. 刑事法(サイバー犯罪等)
  14. 海外法令(GDPR等)


Ver2.0で追加されたQの一覧

  • サイバーセキュリティインシデント発生時の当局等対応
  • インシデントレスポンスと関係者への対応
  • 5G促進法(特定高度情報通信技術活用システムの開発供給及び導入の促進に関する法律)
  • ドローンとサイバーセキュリティ
  • 重要インフラ分野における規律
  • モビリティとサイバーセキュリティ
  • DX認定・DX銘柄とサイバーセキュリティ
  • サイバーセキュリティに関する規格等とNIST SP800シリーズ
  • 認証/本人確認に関する法令について
  • サイバーセキュリティ事業者への投資
  • 脅威インテリジェンスサービ
  • データの消去、データが記録された機器・電子媒体の廃棄
  • ランサムウェア対応
  • インシデント対応における費用負担及びサイバー保険
  • 越境リモートアクセス
  • 海外における主なサイバーセキュリティ法令
  • 国際捜査共助・協力に関する条約・協定

 

・[PDF

20230926-144024

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.03.03 NISC 「サイバーセキュリティ関係法令Q&Aハンドブック 」について

| | Comments (0)

NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイル

こんにちは、丸山満彦です。

 

NISTがIR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイルを公表していますね。。。

 

NIST

・2023.09.25 Just Published! Final NIST IR 8441, Cybersecurity Framework Profile for Hybrid Satellite Networks

Just Published! Final NIST IR 8441, Cybersecurity Framework Profile for Hybrid Satellite Networks 公表! NIST IR 8441最終版、ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワーク・プロファイル
The NIST National Cybersecurity Center of Excellence (NCCoE) has published Final NIST IR 8441, Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN) NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、最終版NIST IR 8441「ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイル」を公表した。
The HSN Cybersecurity Framework (CSF) Profile provides a practical tool for organizations engaged in the design, acquisition, and operation of satellite buses or payloads involving HSN. Its primary intent is to help those organizations better understand the attack surface, incorporate security, and achieve greater resilience for space systems that may be leveraged by critical infrastructure owners and operators, the Department of Defense, or other government missions, in a manner that is consistent with the organization’s risk tolerance. HSNサイバーセキュリティフレームワーク(CSF)プロファイルは、HSNを含む衛星バスまたはペイロードの設計、取得、運用に携わる組織に実用的なツールを提供する。その主な目的は、重要インフラの所有者や運用者、国防総省、あるいは他の政府ミッションによって活用される可能性のある宇宙システムに対して、攻撃対象領域をよりよく理解し、セキュリティを組み込み、組織のリスク許容度に合致した方法で、より高いレジリエンスを達成できるようにすることである。
The HSN Profile will help organizations: HSN プロファイルは組織を支援する:
Identify systems, assets, data, and risks from the CSF that pertain to HSN. ・HSN に関連するシステム、資産、データ、リスクを CSF から識別する。
Protect HSN services by utilizing cybersecurity principles and self-assessment. ・サイバーセキュリティの原則と自己評価を活用して HSN サービスを防御する。
Detect cybersecurity-related disturbances or corruption of HSN services and data. ・HSN サービスとデータのサイバーセキュリティ関連の妨害または破損を検知する。
Respond to HSN service or data anomalies in a timely, effective, and resilient manner. ・HSN サービスまたはデータの異常に、タイムリー、効果的、かつレジリエンスに対応する。
Recover the HSN to proper working order at the conclusion of a cybersecurity incident. ・サイバーセキュリティ・インシデントが発生した場合、HSN を正常な状態に復旧する。
As the space sector is transitioning away from traditional, vertically-integrated entities and towards an aggregation of independently-owned and operated segments, it is becoming more critical for all stakeholders to share a common understanding of the risks and how they can be mitigated. 宇宙部門が伝統的な垂直統合事業体から独立した所有・運営セグメントの集合体へと移行しつつある中、すべての利害関係者がリスクとその低減方法について共通の理解を持つことがより重要になってきている。
To learn more about the project and to join our Community of Interest, visit the project page.  このプロジェクトについての詳細と、関心コミュニティーへの参加については、プロジェクトのページを参照されたい。

 

 

・2023.09.25 NIST IR 8441 Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN)

NIST IR 8441 Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN) NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイル
Abstract 要旨
The space sector is transitioning towards Hybrid Satellite Networks (HSN) which is an aggregation of independently owned and operated terminals, antennas, satellites, payloads, or other components that comprise a satellite system. The elements of an HSN may have varying levels of assurance. 宇宙分野はハイブリッド衛星ネットワーク(HSN)へと移行しつつある。HSNは、衛星システムを構成する独立に所有・運用される端末、アンテナ、衛星、ペイロード、その他のコンポーネントの集合体である。HSNの各要素の保証レベルは様々である。
HSNs may interact with government systems and critical infrastructure (as defined by the Department of Homeland Security). A framework is required to assess the security posture of the individual components while still enabling the HSN to provide its function. This report applies the NIST Cybersecurity Framework to HSNs with an emphasis on the interfaces between the participants of the HSN. HSN は(国土安全保障省が定義する)政府システムや重要インフラと相互作用する可能性がある。HSNがその機能を提供できるようにしながら、個々のコンポーネントのセキュリティ態勢を評価するためのフレームワークが必要である。本報告書では、HSN の参加者間のインターフェイスに重点を置いて、NIST サイバーセキュリティフレームワークを HSN に適用する。
In collaboration with subject matter experts including satellite builders, consultants, acquisition authorities, operators (commercial and government), academia, and other interested parties, the National Institute of Standards and Technology (NIST) has developed the HSN Cybersecurity Framework CSF Profile (HSN Profile) to guide space stakeholders. The resulting profile provides a starting point for stakeholders who are assessing the cybersecurity posture of their HSN. 国立標準技術研究所は、衛星製作者、コンサルタント、取得当局、運用者(商業および政府)、学術界、その他関係者を含む主題の専門家と協力して、宇宙関係者の指針となる HSN サイバーセキュリティフレームワーク CSF プロファイル(HSN Profile)を開発した。このプロファイルは、HSN のサイバーセキュリティ態勢を評価する関係者に出発点を提供するものである。

 

・[PDF]

20230926-84709

 

・[DOCX] 仮訳

 


 

衛星関係...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.01 NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門

・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

・2023.05.31 ENISA 海底ケーブルから低軌道衛星通信までのセキュリティの確保 (2023.05.24)

・2023.04.02 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

・2023.01.08 NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティフレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.28 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

 

| | Comments (0)

英国 RUSI 中国と英国はいかにして世界のAI言説を形成しようとしているのか

こんにちは、丸山満彦です。

英国のRoyal United Services Institute; RUSI [wikipedia ] のブログで、11月に英国で開催されるAIサミットに中国を招待することを踏まえて?以下の記事を公開していますね。。。

英国は2021年9月に国家AI戦略を公表していますね。今年の3月末に意見募集をしたAI規制白書案について、どのようになるのかも気になりますね。。。

 

Royal United Services Institute; RUSI

・2023.09.25 How China and the UK are Seeking to Shape the Global AI Discourse

 

How China and the UK are Seeking to Shape the Global AI Discourse 中国と英国はいかにして世界のAI言説を形成しようとしているのか
While China has recently launched a ChatGPT alternative and become the first country to regulate generative AI, the UK is struggling to find a united voice ahead of its AI safety summit in November. Although both countries are determined to be leaders in AI technologies, the UK government has now confirmed that China will be invited to the summit to cooperate on the national security threats posed by AI. 中国が最近、ChatGPTの代替案を発表し、生成的AIを規制する最初の国になった一方で、英国は11月に開催されるAI安全サミットを前に、一致団結した声を見つけるのに苦労している。両国はAI技術のリーダーになることを決意しているが、英国政府は現在、AIがもたらす国家安全保障上の脅威について協力するため、中国をサミットに招待することを確認している。
High expectations about China’s technological prowess meant that technology experts and AI enthusiasts looked on with interest as Beijing granted regulatory approval for the public rollout of a ChatGPT alternative, the ERNIE 3.5 chatbot, in late August. 中国の技術力に対する期待は高く、8月下旬に北京がChatGPTに代わるチャットボット「ERNIE 3.5」の一般公開を規制当局から承認したことを、技術専門家やAI愛好家たちは興味深く見守った。
In March, the Chinese tech giant Baidu launched ERNIE’s highly anticipated predecessor, the 3.0 version, to much fanfare. While this early version revealed the shortcomings of a less sophisticated technology that was perhaps too immature to be released, the August launch showed improvements, despite significant differences with its US competitor: Chinese large language models (LLMs) are thought to be two to three years behind the state-of-the-art equivalent in the US. ChatGPT unavailability to Chinese consumers has created an appetite for homegrown alternatives. Far from being the only player, Baidu is one of many companies in China that have released LLMs in an attempt to jump on the ChatGPT bandwagon. 中国の巨大テック企業バイドゥは3月、ERNIEの待望の前身である3.0バージョンを発表し、大きな反響を呼んだ。この初期バージョンは、おそらくリリースするには未熟すぎるほど洗練されていない技術の欠点を明らかにしたが、8月の発表では、米国の競合製品との大きな違いはあるものの、改善が見られた: 中国の大規模言語モデル(LLM)は、米国の最先端の同等のものから2~3年遅れていると考えられている。中国の消費者がChatGPTを利用できないことで、国産の代替品への需要が高まっている。バイドゥは、ChatGPTの時流に乗ろうとしてLLMをリリースした多くの中国企業のひとつである。
Technology as an Enabler of China’s Geopolitical Ambitions 中国の地政学的野心を実現するテクノロジー
Having identified technology as a source of economic and military power, China under Xi Jinping has made no mystery of its intentions to scale up key strategic industries and become a world-class tech power. China’s 2017 AI development plan clearly states its intention to become ‘the world’s main artificial intelligence innovation centre’ by 2030. Beijing has nurtured world-leading companies in AI, like those working on computer vision and its applications, which are instrumental to its ever-expanding surveillance state. With generative AI, the flurry of LLM rollouts shows that China wants to be anything but a passive observer, seeking to seize the political and commercial benefits of this field as well. 習近平政権下の中国は、テクノロジーを経済力と軍事力の源泉と位置づけ、主要な戦略産業を拡大し、世界トップクラスのハイテク大国になるという意図を隠さない。中国の2017年AI発展計画には、2030年までに「世界の主要な人工知能イノベーションセンター」になるという意図が明確に記されている。北京は、拡大し続ける監視国家に不可欠なコンピューター・ビジョンとその応用に取り組む企業のように、AIの分野で世界をリードする企業を育ててきた。生成的AIでは、LLMの慌ただしい展開は、中国が受動的な傍観者ではなく、この分野の政治的・商業的利益をも掴もうとしていることを示している。
But this AI frenzy is not limited to technological innovation: it also involves crucial steps on governance. While multiple calls for regulations and control of proliferating AI technologies make headlines in the West, China has gained a head-start by becoming the first country in the world to regulate generative AI this summer. しかし、このAIの熱狂は技術革新にとどまらず、ガバナンスの面でも重要なステップを踏んでいる。欧米では、拡散するAI技術に対する規制や管理を求める声が何度も話題になっているが、中国はこの夏、世界で初めて生成的AIを規制する国となり、先手を打った。
Becoming an AI superpower remains an ambitious goal, especially considering the current state of the UK AI policy landscape AI大国となることは、特に英国のAI政策の現状を考えると、野心的な目標であることに変わりはない。
Given that the Chinese Communist Party’s (CCP) political security rests on its ability to control and manipulate the domestic information space, it is hardly surprising that China is pushing to regulate AI-generated content. Legislative requirements impose security assessments for algorithms with ‘public opinion or social mobilisation attributes’ and require AI-generated content to ‘adhere to core socialist values’ and ‘not incite the subversion of state power’. Such obligations are apparent in the censorship capabilities of Chinese-developed chatbots: in its 3.5 version, ERNIE eschews political questions that are deemed too sensitive – albeit leaving room for peculiar foreign policy takes. 中国共産党(CCP)の政治的安全保障が、国内の情報空間を管理・操作する能力にかかっていることを考えれば、中国がAI生成的コンテンツの規制を推進していることは驚くにはあたらない。立法上の要件として、「世論や社会動員の属性」を持つアルゴリズムには安全性評価を課し、生成的AIコンテンツには「社会主義の中核的価値観を遵守」し、「国家権力の転覆を扇動しない」ことを求めている。このような義務は、中国が開発したチャットボットの検閲機能にも表れている。3.5版では、ERNIEは敏感すぎるとみなされる政治的な質問を避けているが、独特の外交政策を取る余地は残されている。
Idiosyncratic provisions aside, China’s finalised AI regulations also mandate companies to take effective measures to prevent discrimination, to protect intellectual property rights and to guarantee the privacy of personal information, echoing concerns about structural racismcopyright infringements and the massive collection and storage of personal data that have been voiced in the West as well. 特異な規定はさておき、中国が最終決定したAI規制は、差別を防止し、知的財産権を保護し、個人情報のプライバシーを保証するための効果的な措置を講じることを企業に義務付けている。これは、構造的な人種差別、著作権侵害、個人データの大規模な収集と保存に対する懸念が欧米でも声高に叫ばれていることを反映したものだ。
China’s first-mover advantage in generative AI means that Chinese companies can fine-tune their LLMs to what the CCP considers China’s national priorities from the initial stages of technology development. These include both mitigating potential societal and political fallout, as well as signalling policy direction to develop AI applications that can serve the real economy, such as in the medical industry, the transport sector or the mining industry. 生成的AIにおける中国の先行者優位性は、中国企業が技術開発の初期段階から中国共産党が考える中国の国家的優先事項に合わせてLLMを微調整できることを意味する。これには、潜在的な社会的・政治的影響を低減させるだけでなく、医療産業、運輸部門、鉱業など、実体経済に役立つAIアプリケーションを開発するための政策の方向性を示すことも含まれる。
Much Ado About the AI Summit AIサミットの話題
Meanwhile, the UK is equally keen on playing a key role in the AI landscape. In its National AI Strategy, the UK government has set itself the aim of becoming a ‘global AI superpower’. The UK hosts several promising AI technology companies and research institutes, and seeks to further strengthen its AI capabilities with the help of the Frontier AI Taskforce. Becoming an AI superpower, however, remains an ambitious goal, especially considering the current state of the UK AI policy landscape. 一方、英国も同様に、AI分野で重要な役割を果たそうとしている。英国政府は国家AI戦略の中で、「世界的なAI大国」になることを目標に掲げている。英国は有望なAIテクノロジー企業や研究機構をいくつか抱えており、「フロンティアAIタスクフォース」の支援を受けてAI能力をさらに強化しようとしている。しかし、AI大国になることは、特に英国のAI政策の現状を考慮すると、野心的な目標であることに変わりはない。
Having the best intentions for future action is insufficient when it comes to technologies that develop as quickly – and that are of as much geopolitical and strategic importance – as AI AIのように急速に発展し、地政学的・戦略的に重要な技術に関しては、将来の行動に対して最善の意図を持つことは不十分である。
After several reshuffles of both competencies and staff, the newly founded Department of Science, Innovation and Technology – together with teams from Number 10 and the Foreign, Commonwealth and Development Office – is now putting together the world’s first AI summit on safety. With the summit scheduled for 1–2 November this year, those in charge of securing an impressive guest list and an agenda that can meet the high expectations set out are under enormous time pressure. It is no surprise that public confidence in the summit is low, especially as it has taken the government months to even announce a date and location. After weeks of speculation, China has been officially invited to the summit in order to address mutual concerns over AI’s risks to national security. However, the extent to which Beijing will be able to participate remains unclear. 何度かの権限とスタッフの入れ替えを経て、新たに設立された科学技術革新省は、ナンバー10と外務・英連邦・開発省のチームとともに、安全に関する世界初のAIサミットを開催しようとしている。サミットは今年11月1日〜2日に予定されており、豪華なゲストリストと、設定された高い期待に応えられるアジェンダを確保する担当者は、大きな時間的プレッシャーにさらされている。特に、政府が日程と場所を発表するのに数カ月もかかっているのだから、サミットに対する国民の信頼が低いのは当然だ。数週間にわたる憶測の末、中国が正式にサミットに招待されたのは、国家安全保障に対するAIのリスクに対する相互の懸念に対処するためである。しかし、北京がどこまで参加できるかはまだ不透明だ。
Described by the prime minister as ‘the first major global summit on AI safety’, the summit was announced in June. At the time, the EU and the US announced an alliance on an AI code of conduct as part of the EU-US Trade and Technology Council. The UK is not a member of this council, and although it is part of G7 conversations on AI regulation, the announcement of an AI summit came at a strategically convenient but surprising time. Arguably, the additional UK AI summit is a duplication of other international efforts, but it is one way for the UK government to counter any narratives implying that the UK might be a bystander on AI standard-setting discussions. 首相が「AIの安全性に関する初の主要なグローバル・サミット」と表現したこのサミットは、6月に発表された。当時、EUと米国はEU・米国貿易技術協議会の一環として、AI行動規範に関する提携を発表した。英国はこの協議会のメンバーではなく、AI規制に関するG7の会話の一部ではあるが、AIサミットの発表は戦略的に都合の良い、しかし意外なタイミングで行われた。英国のAIサミットの追加は、他の国際的な取り組みと重複していることは否めないが、英国政府にとっては、英国がAIの標準設定に関する議論の傍観者である可能性を示唆するナラティブに対抗するひとつの方法である。
The problem is that having the best intentions for future action is insufficient when it comes to technologies that develop as quickly – and that are of as much geopolitical and strategic importance – as AI. The AI White Paper that the UK published a few months ago, for example, seems to have almost been forgotten by many. Meanwhile, the Science, Innovation and Technology Committee’s findings on the governance of AI, published at the end of August, suggest that the White Paper’s five principles of governance constitute a ‘proposed approach (that) is already risking falling behind the pace of development of AI’ – a risk that is only increasing given the previously mentioned EU and US efforts to set international standards. 問題は、AIのように急速に発展し、地政学的・戦略的に重要な技術に関しては、将来の行動に対して最善の意図を持つだけでは不十分だということだ。例えば、英国が数ヶ月前に発表したAI白書は、多くの人々から忘れ去られようとしているようだ。一方、8月末に発表された科学・イノベーション・技術委員会によるAIのガバナンスに関する調査結果は、白書のガバナンス5原則が「(すでに)AIの開発ペースに遅れをとるリスクのあるアプローチ案」であることを示唆している。

Whether in the form of a white paper, a summit or other projects, thought leadership contained in forgotten documents or photos of ministers shaking hands with big tech CEOs will mean little if they are not followed up with coherent and persistent action. The challenges the UK government faces when it comes to positioning itself as a ‘global AI superpower’ are not just posed by Chinese ambitions for tech supremacy. The UK government also needs to unite different departments on its AI policy and priorities, and must continue to forge alliances with the private sector and international partners. As AI industries across countries are deeply entangled, finding common ground with jurisdictions that do not share the UK’s values is also crucial. Only then can the UK – together with its allies – be actually world-leading on AI technologies. 白書やサミット、その他のプロジェクトの形であれ、忘れ去られた文書に含まれるソート・リーダーシップや、大臣が大手テック企業のCEOと握手している写真であれ、首尾一貫した粘り強い行動でフォローされなければ、ほとんど意味をなさないだろう。英国政府が「世界のAI大国」として自国を位置づける際に直面する課題は、ハイテク覇権を狙う中国の野心だけではない。英国政府もまた、AI政策と優先事項に関して異なる省庁を団結させる必要があり、民間セクターや国際的パートナーとの提携を築き続けなければならない。各国のAI産業は深く絡み合っているため、英国の価値観を共有しない国との共通点を見出すことも極めて重要である。そうして初めて、英国は同盟国とともにAI技術で世界をリードすることができるのである。

 

1_20230926061101


 

 

まるちゃんの情報セキュリティ気まぐれ日記

英国関連

・2023.08.25 英国 AIサミットは11月1日2日にブレッチリー・パークで開催

・2023.08.20 英国 人工知能にゲームをさせることからの学び

・2023.08.15 英国 年内のAI安全サミットに向けて陣頭指揮をとる2名を任命し、Aiヘルスケア研究に1300万£(約24億円)を拠出... (2023.08.10)

・2023.07.20 英国 Ada Lovelace 協会 英国のAI規制、AIリスクなど4つの報告書

・2023.07.18 英国 科学技術省データ倫理・イノベーションセンターブログ AI保証の専門家が他の領域から学ぶべき6つの教訓 (2023.07.12)

・2023.07.09 英国 著作権と人工知能 (AI) に関する実施規範をつくるようですね。。。(2023.06.29)

・2023.07.07 英国 Ada Lovelace 協会 AIサプライチェーンにおける説明責任の分担 (2023.06.29)

・2023.06.19 英国 科学技術省データ倫理・イノベーションセンター 「AIシステムをより公平にするために、人口統計データへの責任あるアクセスを可能にする」

・2023.06.18 英国 科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

・2023.04.05 英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

・2023.04.01 英国 意見募集 AI規制白書

・2023.03.20 英国 イノベーションを促進する技術規制の見直し:デジタルテクノロジー

・2023.03.10 英国 ICO Blog 国際女性デーに向けて...AIによる差別への対処が重要な理由

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

・2022.09.25 英国 Ada Lovelace 協会 欧州におけるAI責任:EUのAI責任指令の先取り

・2022.06.26 英国 国防AI戦略 (2022.06.15)

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.04.20 AIガバナンスの標準? ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations

・2021.12.19 英国 AIバロメータ21 公表

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.09.24 英国 国家AI戦略

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

 

 

中国関連

・2023.09.11 中国 生成的AIについての専門家の解釈 (2023.08.29)

・2023.07.14 中国 国家サイバースペース管理局他 生成的AIサービス管理暫定弁法 施行は2023.08.15

・2023.04.12 中国 意見募集 生成的人工知能サービス管理弁法

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

 

 

| | Comments (0)

第78回 国連総会 トップ等の発言...

こんいちは、丸山満彦です。

 

第78回の国連総会が開催されていますが、国連総会での各国首脳等の発言。あわせていろいろと会議が開催されていますね。。。

 

UNITED NATIONS - UN News

Filter by UNGA78

 

主なものを...

2023.09.22 英国 World must pass ‘AI stress test’, UK Deputy PM says, announcing summit 世界は 「AIストレステスト 」に合格しなければならない:英国オリバー・ダウデン副首相
2023.09.22 イスラエル Israel on the cusp of historic peace with Saudi Arabia, Netanyahu announces at UN イスラエルはサウジアラビアとの歴史的和平の危機に瀕している:ネタニヤフ首相
2023.09.21 中国 Strong multilateralism key to international cooperation, says China’s Vice-President 強力な多国間主義が国際協力の鍵:ハン副主席
2023.09.20 ウクライナ Zelenskyy says Russia's Security Council veto undermines world body ロシアの安保理拒否権は世界団体を弱体化させる:ゼレンスキー大統領
2023.09.19 日本 Reforms vital to build confidence, Japanese leader tells UN Assembly 信頼醸成には改革が不可欠:岸田首相
2023.09.19 ドイツ Courage needed to mend today’s global rifts, German leader tells UN Assembly 今日の世界的亀裂を修復するには勇気が必要:シュルツ首相
2023.09.19 イラン Iranian President denounces West’s meddling in affairs of Middle East countries 中東諸国への欧米の干渉を糾弾する:イラン大統領
2023.09.19 ウクライナ Russia’s weaponization of food and energy impacts all countries, Zelenskyy tells UN Assembly ロシアの食糧・エネルギー兵器化はすべての国に影響:ゼレンスキー大統領
2023.09.19 米国 Biden says ‘when we stand together’, we can tackle any challenge われわれが団結すれば」どんな困難にも対処できる:バイデン大統領

 

1_20230926054901

 


ドイツ首相 自由なき平和は抑圧を意味する

● Bundesregierung

・2023.09.21 „Frieden ohne Freiheit heißt Unterdrückung“

 

英国副首相 

U.K. Gov

・2023.09.23 Deputy Prime Minister Oliver Dowden’s speech to the UN General Assembly: 22 September 2023

 

米国大統領

U.S. White housse

・2023.09.19 Remarks by President Biden Before the 78th Session of the United Nations General Assembly | New York, NY

 

日本首相

● 官邸

・2023.09.20 効果的な多国間主義とウクライナ情勢に関する安保理首脳級会合 岸田総理スピーチ

・2023.09.19 第78回国連総会における岸田内閣総理大臣一般討論演説

 

 

国連広報センター

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.22 ロシア 中国 モンゴル による安全保障協議 at モスクワ

| | Comments (0)

米国 商工会議所 教育・提言キャンペーン「責任あるAIビジネス・リーダーシップ・イニシアティブ」

こんにちは、丸山満彦です。

米高商工会議所が2023.03.09に人工知能についての報告書を公表しておりますが、今回は、企業主導の教育・提言キャンペーンである「 「責任あるAIビジネス・リーダーシップ・イニシアティブ」の開始についての発表をしていますね。。。

この教育・提言キャンペーンの目的...

  1. 一般市民と政策立案者を教育する
  2. イノベーションと信頼できるAIを実現するための連邦政策の提唱
  3. グローバルなAIフレームワーク構築における米国のリーダーシップを促進する
  4. 州や地域の規制の矛盾を防ぐ

だそうです。。。

官民とも力強いですね。。。

 

U.S. Chamber of Commerce

・2023.09.20 U.S. Chamber Launches ‘Responsible AI Business Leadership Initiative,’ An Education and Advocacy Effort to Promote the Responsible Development and Use of Artificial Intelligence

U.S. Chamber Launches ‘Responsible AI Business Leadership Initiative,’ An Education and Advocacy Effort to Promote the Responsible Development and Use of Artificial Intelligence 米国商工会議所、人工知能の責任ある開発と利用を促進するための教育・提言活動「責任あるAIビジネス・リーダーシップ・イニシアティブ」を開始
U.S. Chamber announcement on the launch of the 'Responsible AI Business Leadership Initiative.' 米国商工会議所は、「責任あるAIビジネス・リーダーシップ・イニシアティブ」の立ち上げについて発表した。
WASHINGTON, D.C. — Today, the U.S. Chamber of Commerce announced the launch of the ‘Responsible AI Business Leadership Initiative,’ a business-led education and advocacy campaign on the importance of developing and deploying responsible artificial intelligence (AI). ワシントンD.C.-本日、米国商工会議所は、責任ある人工知能(AI)の開発と導入の重要性に関する企業主導の教育・提言キャンペーンである「責任あるAIビジネス・リーダーシップ・イニシアティブ」の立ち上げを発表した。
The announcement, which was made during the U.S. Chamber’s Global AI Forum at the National Press Club in Washington D.C., marks the formal start of this campaign to educate policymakers and key decisionmakers on the benefits and uses of AI, and advocate for a responsible federal policy framework.  この発表は、ワシントンD.C.のナショナル・プレス・クラブで開催された米国商工会議所のグローバルAIフォーラムの中で行われたもので、政策立案者や主要な意思決定者にAIの利点と用途について教育し、責任ある連邦政策の枠組みを提唱するこのキャンペーンの正式な開始を意味する。
“The age of artificial intelligence has ushered in an unparalleled opportunity to leverage America’s technological prowess as a tremendous force of good here at home and around the world,” said Tom Quaadman, executive vice president of the U.S. Chamber’s Technology Engagement Center (C_TEC). “As the leading voice for American businesses of all sizes across the economy, the U.S. Chamber is uniquely positioned to convene the brain-trust necessary to forge a sensible path forward on responsible AI leadership at scale. 「米国商工会議所テクノロジー・エンゲージメント・センター(C_TEC)のエグゼクティブ・バイスプレジデントであるトム・クワッドマンは、「人工知能の時代は、米国の技術力を国内および世界における多大な善の力として活用するまたとない機会を到来させた。「米国商工会議所は、経済全般にわたるあらゆる規模の米国企業の代表的な代弁者として、大規模で責任あるAIのリーダーシップについて賢明な道筋を築くために必要な頭脳集団を招集するユニークな立場にある。
“It is imperative for the United States, in partnership with like-minded nations, lead the effort to create a global regulatory framework for trustworthy and responsible AI. It is also vital for the U.S. federal government to work with the private sector to develop national policies that promote innovation and mitigate risk. We are optimistic the ‘Responsible AI Business Leadership Initiative’ will be a force multiplier for the development of responsible AI that harnesses the immense potential of this technology,” Quaadman concluded. 「米国は、志を同じくする国々と連携して、信頼できる責任あるAIのためのグローバルな規制の枠組みを構築する努力をリードすることが不可欠である。また、米国連邦政府が民間セクターと協力し、イノベーションを促進しリスクを軽減する国家政策を策定することも不可欠である。我々は、『責任あるAIビジネス・リーダーシップ・イニシアティブ』が、この技術の計り知れない可能性を活用する責任あるAIの発展のための戦力となることを確信している」とクワッドマンは締めくくった。
The Initiative will focus on four key activities:  このイニシアティブは、4つの主要な活動に焦点を当てる: 
1. Educating the Public and Policymakers  1. 一般市民と政策立案者を教育する
2. Advocating for Federal Policies to Achieve Innovation and Trustworthy AI  2. イノベーションと信頼できるAIを実現するための連邦政策の提唱 
3. Advancing U.S. Leadership in Creating a Global AI Framework  3. グローバルなAIフレームワーク構築における米国のリーダーシップを促進する
4. Preventing a Conflicting Patchwork of State and Local Regulations 4. 州や地域の規制の矛盾を防ぐ
The Initiative will build on the work of the U.S. Chamber’s Commission on AI Competitiveness, Inclusion, and Innovation to determine the real-world impacts of AI on the economy and society, and recommendations for a policy framework that optimizes the benefits of the technology and mitigates its potential risks.  このイニシアティブは、米国商工会議所の「AIの競争力、インクルージョン、イノベーションに関する委員会」の活動を基に、AIが経済や社会に与える現実世界への影響、およびこの技術の利点を最適化し、潜在的リスクを軽減する政策フレームワークの提言を決定する。
This Initiative will also leverage the insights derived from the U.S. Chamber’s Artificial Intelligence Working Group, which was started in 2019 and currently convenes over 160 companies across 32 industries. このイニシアティブは、2019年に発足し、現在32業種160社以上が参加している米国商工会議所の人工知能ワーキンググループから得られた知見も活用する。

 

U.S. Chamber of Commerce Foundation - YouTube

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.14 米国商工会議所 人工知能報告書


| | Comments (0)

米国 CISA サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)

こんにちは、丸山満彦です。

CISAがサプライチェーンマネジメントの一環として、「ハードウェア」部品表のフレームワーク(HBOM) を公表していますね。。。SBOMに続いて、HMOM...

xBOMですね。。。

 

CISA 

・22023.09.25 CISA Releases Hardware Bill of Materials Framework (HBOM) for Supply Chain Risk Management (SCRM)  

 

CISA Releases Hardware Bill of Materials Framework (HBOM) for Supply Chain Risk Management (SCRM)  CISA、サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)をリリース 
WASHINGTON - Today, the Cybersecurity and Infrastructure Security Agency (CISA) released the new Hardware Bill of Materials Framework (HBOM) for Supply Chain Risk Management product from the Information and Communications Technology (ICT) Supply Chain Risk Management (SCRM) Task Force.   ワシントン - 本日、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、情報通信技術(ICT)サプライチェーンリスクマネジメント(SCRM)タスクフォースから、サプライチェーンリスクマネジメントのための新しいハードウェア部品表フレームワーク(HBOM)を発表した。 
“The HBOM Framework offers a consistent and repeatable way for vendors and purchasers to communicate about hardware components, enabling effective risk assessment and mitigation in the supply chain. With standardized naming, comprehensive information, and clear guidance, organizations can safeguard against economic and security risks, enhancing overall resilience,” said CISA National Risk Management Center Assistant Director and ICT SCRM Task Force Co-Chair Mona Harrington. “By enhancing transparency and traceability through HBOM, stakeholders can identify and address potential risks within the supply chain, ensuring that the digital landscape remains robust and secure against emerging threats and challenges.”  「HBOMフレームワークは、ベンダーと購入者がハードウェア部品について一貫性のある反復可能な方法を提供し、サプライチェーンにおける効果的なリスクアセスメントと低減を可能にする。標準化された名称、包括的な情報、明確なガイダンスにより、組織は経済的リスクとセキュリティ・リスクから保護することができ、全体的なレジリエンスを高めることができる」と、CISAナショナル・リスク・マネジメント・センター・アシスタント・ディレクターでICT SCRMタスクフォース共同議長のモナ・ハリントンは述べた。「HBOMを通じて透明性とトレーサビリティを強化することで、関係者はサプライチェーン内の潜在的なリスクを特定し、対処することができる。
The HBOM product provides a framework that includes a consistent naming methodology for attributes of components, a format for identifying and providing information about the different types of components, and guidance of what HBOM information is appropriate depending on the purpose for which the HBOM will be used.  HBOM製品は、コンポーネントの属性に対する一貫した命名方法、異なるタイプのコンポーネントを識別し情報を提供するためのフォーマット、HBOMが使用される目的に応じてどのようなHBOM情報が適切であるかについてのガイダンスを含むフレームワークを提供する。
The framework has several key components:   フレームワークには、いくつかの重要な構成要素がある:  
Use Case Categories (Appendix A): Provides a range of potential use cases that purchasers may have for HBOMs, based on the nature of the risk the purchaser seeks to evaluate.  ユースケースカテゴリー(附属書A): ユースケース・カテゴリー(Appendix A):購入者が評価しようとするリスクの性質に基づき、購入者がHBOMを使用する可能性のあるユースケースの範囲を提供する。
Format of HBOMs (Appendix B): Framework sets forth a format that can be used to ensure consistency across HBOMs and to increase the ease with which HBOMs can be produced and used.  HBOMのフォーマット(附属書B): HBOMs の一貫性を確保し、HBOMs の作成と利用を容易にするために使用できる形式を定める。
Data Field Taxonomy (Appendix C): Provides a taxonomy of component/input attributes that, depending on the use for which the purchaser intends to use an HBOM, may be appropriate to include in an HBOM.  データフィールド分類法(附属書C): 購入者がHBOMを使用しようとする用途に応じて、HBOMに含めることが適切と思われる構成要素/入力属性の分類法を提供する。
“This methodology gives organizations a useful tool to evaluate supply chain risks with a consistent and predictable structure for a variety of use cases” said John Miller, Senior Vice President of Policy and General Counsel at Information Technology Industry Council (ITI) and ICT SCRM Task Force Co-Chair. The product was developed by the ICT SCRM Task Force’s HBOM Working Group, which includes subject matter experts from a diverse set of private and public sector organizations.   「情報技術産業審議会(ITI)の政策及び法律顧問担当上級副会長であり、ICT SCRM タスクフォース共同議長を務めるジョン・ミラー氏は、「この方法論は、様々なユースケースに対応し、一貫した予測可能な構造でサプライチェーンリスクを評価するための有用なツールを組織に提供する。この製品は、ICT SCRMタスクフォースのHBOM作業部会によって開発されたもので、この作業部会には、多様な民間および公的機関の専門家が参加している。 
"This resource plays a vital role in adopting proactive approaches to mitigate risks effectively," said Robert Mayer, Senior Vice President of Cybersecurity and Innovation at US Telecom and ICT SCRM Task Force Co-Chair.   USテレコムのサイバーセキュリティ・イノベーション担当上級副社長であり、ICT SCRMタスクフォース共同議長を務めるロバート・メイヤー氏は、「このリソースは、リスクを効果的に軽減するための積極的なアプローチを採用する上で重要な役割を果たす」と述べた。 

 

 

・2023.09.25 Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management

Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management サプライチェーンリスクマネジメントのための部品表(HBOM)フレームワーク
The Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management product provides a framework that includes a consistent naming methodology for attributes of components, a format for identifying and providing information about the different types of components, and guidance of what HBOM information is appropriate depending on the purpose for which the HBOM will be used. サプライチェーンリスクマネジメントのためのハードウェア部品表(HBOM)フレームワーク」は、部品の属性に対する一貫した命名方法、異なる種類の部品に関する識別と情報提供のためのフォーマット、HBOMが使用される目的に応じてどのようなHBOM情報が適切であるかのガイダンスを含むフレームワークを提供する。

 

・[PDF] A Hardware Bill of Materials Framework for Supply Chain Risk Management

20230926-41613

 

・[PDF] A Hardware Bill of Materials Framework for Supply Chain Risk Management Fact Sheet

20230926-41622

 

A Hardware Bill of Materials Framework for Supply Chain Risk Management サプライチェーンリスクマネジメントのためのハードウェア部品表フレームワーク
OVERVIEW  概要 
The Cybersecurity and Infrastructure Security Agency’s (CISA) Information and Communications Technology (ICT) Supply Chain Risk Management (SCRM) Task Force1 has identified and provided recommendations to address the economic and security risks associated with equipment components that may be untrusted, compromised, or subject to availability risks by creating the document entitled, A Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management. The product is aimed at creating a consistent, repeatable way for vendors to communicate to purchasers the hardware components in products that they have or may purchase, enabling purchasers to evaluate and mitigate risks in their supply chain.  サイバーセキュリティ・インフラフラセキュリティ庁(CISA)の情報通信技術(ICT)サプライチェーンリスクマネジメント(SCRM)タスクフォース1 は、「サプライチェーンリスクマネジメントのためのハードウェア部品表(HBOM)フレームワーク」と題する文書を作成することにより、信頼されていない、危険にさらされている、または可用性リスクの対象となる可能性のある機器部品に関連する経済的リスクおよびセキュリティリスクに対処するための識別と勧告を行った。この製品は、ベンダーが購入者に対し、購入済みまたは購入する可能性のある製品に含まれるハードウェア・コンポーネントをコミュニケーションするための一貫した反復可能な方法を作成することを目的としており、これにより購入者はサプライチェーンにおけるリスクを評価し、軽減することができる。
BENEFITS OF HBOMs  HBOMのメリット 
When purchasing hardware, it is crucial for a company to consider the utilization of an HBOM in order to make informed decisions regarding safe and secure hardware. A Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management provides several benefits to the consumer by creating a consistent, repeatable way for vendors to communicate with purchasers about the hardware components in products that they have or will acquire in the future. This supports purchasers in the evaluation and mitigation of risks in their supply chain. Several additional benefits the framework addresses include:  ハードウェアを購入する際、企業が安全でセキュアなハードウェアについて十分な情報を得た上で意思決定を行うためには、HBOMの活用を検討することが極めて重要である。サプライチェーンリスクマネジメントのためのハードウェア部品表(HBOM)フレームワークは、ベンダーが購入者に対して、現在または将来入手する製品に含まれるハードウェアコンポーネントについて、一貫性のある反復可能なコミュニケーション方法を構築することにより、消費者にいくつかのメリットを提供する。これにより、購入者はサプライチェーンにおけるリスクを評価し、低減することができる。さらに、このフレームワークには以下のような利点がある: 
• Provides a useful tool to help industry and government evaluate and address supply chain risks  ・産業界と政府がサプライチェーンのリスクを評価し,対処するのに役立つツールを提供する。
• Helps organizations illuminate supply chains and support the efficient evaluation and mitigation of certain risks  ・組織がサプライチェーンを明らかにし,特定のリスクの効率的な評価と低減を支援する。
• Provides portability between suppliers and purchasers  ・供給者と購入者間の移植性を提供する。
RECOMMENDATIONS FOR AN HBOM USE CASE  HBOMのユースケースに関する推奨事項 
Requesting HBOMs is one of the many activities that purchasers can leverage to evaluate their supply chains in order to mitigate risk. Currently available HBOM formats need supplemental assistance to be portable between suppliers and purchasers and as such, this HBOM framework aims to advance such interoperability. The principal HBOM “use cases” detailed in the report were identified by the ICT industry representative and government stakeholders as relevant for supply chain risk management purposes. These principal HBOM “use cases” can be categorized into three high-level categories, as described in Table 1.  HBOMの要請は、リスクを軽減するためにサプライチェーンを評価するために購入者が活用できる多くの活動の一つである。現在利用可能なHBOMフォーマットは、サプライヤーと購入者の間で移植可能であるために補足的な支援が必要であり、そのようなものとして、このHBOMフレームワークは、そのような相互運用性を促進することを目的としている。本報告書に詳述されている主要なHBOMの「ユースケース」は、サプライチェーン・リスクマネジメントの目的に関連するものとして、ICT業界の代表者及び政府の利害関係者によって特定されたものである。これらの主なHBOMの「ユースケース」は、表1に示すように、3つのハイレベルカテゴリーに分類することができる。
Table 1: “Use Case” Category Definitions  表 1:「ユースケース」カテゴリー定義 
“Use Case” Category : Category Definition  「ユースケース」カテゴリー:カテゴリー定義 
Compliance: Situations which assess the product’s compliance with rules and requirements. These scenarios will help an entity with organizing the information it may need to assess the adherence to internal, industry, customer, and government requirements. コンプライアンス: 製品が規則や要件に準拠しているかを評価する状況。これらのシナリオは、事業体が内部、業界、顧客、政府の要求事項への準拠を評価するために必要な情報を整理するのに役立つ。
Security : Scenarios that evaluate the product’s security risk based on the exposure to known vulnerabilities and/or high susceptibility to untrusted entities/geolocations.  セキュリティ:既知の脆弱性へのエクスポージャー、および/または信頼できない事業体/地理的位置に対する高い感受性に基づいて、製品のセキュリティリスクを評価するシナリオ。
Availability : Conditions that assess product impacts from world events and supply chain diversification (or lack thereof).  可用性:世界的な出来事やサプライチェーンの多様化(またはその欠如)による製品への影響を評価する条件。
DATA FIELDS AND EXAMPLE FORMATS  データフィールドとフォーマット例 
This product is intended to be used on a voluntary and flexible basis and includes three key components: HBOM Use Case Categories, HBOM Formats, and a Data Field Taxonomy. Overall, this product provides definitional and formatting consistency that is helpful regardless of the specific HBOM information to be shared. It also provides guidance on what HBOM components may be appropriate to include in HBOMs that are provided to meet different use cases/goals that purchasers may have (e.g., evaluating security, promoting resiliency/availability, or complying with laws or regulations).  本製品は、自主的かつ柔軟に使用されることを意図しており、3 つの主要な構成要素を含む: HBOMユースケースカテゴリー、HBOMフォーマット、およびデータフィールド分類法である。全体として、この製品は、共有される特定のHBOM情報に関係なく有用な定義と書式の一貫性を提供する。また、どのような HBOM コンポーネントを HBOM に含めるのが適切かについてのガイダンスを提供する。HBOM は、購入者が持ちうるさまざまなユースケース/目標(例えば、セキュリティの評価、レジリエンス/アベイラビリティの促進、または法律や規制の遵守)を満たすために提供される。
In the example below, “Assembly X1,” “Kit X2,” and “Assembly W2” can be separated into additional pieces. Depending on the use-case, key information may reside within these components and may be hidden at the Assembly/Kit level. This is shown in figure 1:  以下の例では、"アセンブリX1"、"キットX2"、"アセンブリW2 "は、さらに分割することができる。ユースケースによっては、重要な情報がこれらの構成要素の中に存在し、アセンブリ/キットレベルでは隠されている場合がある。これを図1に示す: 
Figure 1: Format Example  図1:フォーマットの例 
1_20230926043101
RESOURCES  参考資料 
ICT Supply Chain Risk Management Task Force
・ICT サプライチェーンリスクマネジメントタスクフォース
ICT Supply Chain Library ・ICT サプライチェーン・ライブラリ
ICT SCRM Task Force Resources ・ICT SCRM タスクフォースのリソース

 

 


 

HBOMについては、ここに少し触れられていますね...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

 

| | Comments (0)

2023.09.25

日本公認会計士協会 IAASB公開草案 国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」

こんにちは、丸山満彦です。

日本公認会計士協会が、

  • IAASB公開草案 国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」の翻訳
  • IAASB公開草案 国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」について解説記事

を公表していますね。。。 解説記事は、CPA対象の記事になっていますね。。。

 

日本会計士協会

翻訳

・2023.09.21 国際サステナビリティ保証基準(ISSA)5000 「サステナビリティ保証業務の一般的要求事項」(公開草案)の翻訳の公表について

 

20230925-113911

 

20230925-113919

 

20230925-113924

 

解説記事

・2023.09.22 【解説記事】IAASB公開草案「国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」」の公表

・[PDF]

20230925-112715

 

・[DOCX] 国際サステナビリティ保証基準(ISSA) 5000「サステナビリティ保証業務の一般的要求事項」の公開草案のための回答テンプレート

 

原文は...

● IAASB

・2023.08.02 IAASB LAUNCHES PUBLIC CONSULTATION ON LANDMARK PROPOSED GLOBAL SUSTAINABILITY ASSURANCE STANDARD

UNDERSTANDING INTERNATIONAL STANDARD ON SUSTAINABILITY ASSURANCE 5000

・2023.08.02 PROPOSED INTERNATIONAL STANDARD ON SUSTAINABILITY ASSURANCE 5000, GENERAL REQUIREMENTS FOR SUSTAINABILITY ASSURANCE ENGAGEMENTS

・・[PDF] Proposed International Standard on Sustainability Assurance 5000 General Requirements for Sustainability Assurance Engagements and Proposed Conforming and Consequential Amendments to Other IAASB Standards

20230925-125623

 

・・[PDF] Explanatory Memorandum for Proposed International Standard on Sustainability AssuranceTM (ISSA) 5000 General Requirements for Sustainability Assurance Engagements

20230925-125707

 

・・[PDF] FREQUENTLY ASKED QUESTIONS International Standard on Sustainability Assurance 5000

20230925-125715

 

 

| | Comments (0)

ロシア 科学技術センター デジタル外交2023:課題と発展動向

こんにちは、丸山満彦です。

ロシアの科学技術センター(Научно-технический центр)のブログで、「デジタル外交の課題と発展動向」という文書が公表されていますね。。。

Научно-технический центрについては、こちら。。。

安全保障という観点からは、従来の概念に加えてデジタル面あるいはサイバー面についての深い検討が重要となってくるでしょうね。。。それは、デジタル安全保障とかサイバー安全保障とかいうのかもしれませんが。。。外交、軍事力、インテリジェンス、経済の4つの分野でのデジタル、サイバーの影響の分析が重要かもですね。。。

 

Научно-технический центр

・2023.09.22 Цифровая дипломатия 2023: вызовы и тенденции развития

Цифровая дипломатия 2023: вызовы и тенденции развития デジタル外交2023:課題と発展動向
Концептуальная основа цифровой дипломатии сформировалась в 2009 и 2010 гг. в рамках работ Дж. Макхейл о стратегии новой публичной дипломатии США «Публичная дипломатия: укрепление взаимодействия Соединённых Штатов с миром» и «Публичная дипломатия: национальный стратегический императив». デジタル外交の概念的枠組みは、2009年と2010年にJ.マクヘイルによる米国の新しいパブリック外交戦略に関する著作「パブリック外交:米国の世界との関わりを強化する」と「パブリック外交:国家戦略上の緊急課題」の枠組みの中で形成された。
Так, США обозначили проблемы и вызовы, с которыми будет иметь дело публичная дипломатия Web 2.0., которая включает эффективную идеологическую пропаганду; информационную деятельность Китая в сети Интернет; медиа-присутствие России на пространстве бывшего Советского Союза и внешнюю культурную политику Ирана в соцсетях. Публичная дипломатия, согласно, этим документам включат понятие дипломатии вовлечения, которое подразумевает создание условий для изменения политической культуры или смены недемократического режима в других странах посредством поддержки или создания оппозиции. Это является способом решения указанных проблем в цифровом пространстве. В США активно разрабатываются превентивные информационные стратегии, включая быструю реакцию правительства на информацию в блогах и соцсетях, диалог между членами правительства США и отдельными блогерами, создание комплекса неправительственных организаций посредством социальных сетей. Целевую аудиторию для осуществления указанных принципов составляет молодежь и группы оппозиционеров и/или, которые объединяют пользователей вокруг информационной инфраструктуры США и оказывают давление на другие государственные режимы. そこで米国は、Web2.0.パブリック外交が対処すべき問題や課題について概説した。その中には、効果的なイデオロギー・プロパガンダ、中国のインターネット上での情報活動、旧ソ連におけるロシアのメディア・プレゼンス、ソーシャル・ネットワークにおけるイランの対外文化政策などが含まれる。これらの文書によれば、パブリック外交にはエンゲージメント外交という考え方が含まれており、これは他国の政治文化の変革や非民主的な体制変革のための条件を、反対勢力を支援したり作り出したりすることで作り出すというものである。これは、デジタル空間でこれらの問題に対処する方法である。米国では、ブログやソーシャル・ネットワーク上の情報に対する政府の迅速な対応、米国政府のメンバーと個人ブロガーとの対話、ソーシャル・ネットワークを通じた一連の非政府組織の創設など、予防的な情報戦略が積極的に展開されている。これらの原則を実行する対象は、若者や野党グループ、あるいは米国の情報インフラにユーザーを結集させ、他の政府体制に圧力をかけるグループである。
Для осуществления намеченной стратегии в области нового вектора развития дипломатии в США создается ряд специальных служб. В частности, «Управление цифровой дипломатии» в начале 2000-х годов. В рамках Управления созданы несколько направлений работы с социальными сетями, сообществами и т.д. В частности, оценка социальных сетей и организация конференций и семинаров в Литве по обеспечению безопасности групп в социальных сетях, которые организуют протесты против правительств, а также семинары по восприятию американской культуры в Китае, и по обучению молодежи гражданской активности в Тимор-Лесте. Кроме этого, в рамках проекта цифровой дипломатии ведутся разработки стратегий, приложений и инструментов для публичной дипломатии. Параллельно, вопросами внешней политик и информационного влияния на внешнюю аудиторию занимается Управление цифрового взаимодействия (Office of Digital Engagement, ODE) ‑ структурное подразделение Бюро по глобальным связям с общественностью. В его задачи входит поддержка официального присутствия внешнеполитического ведомства США на медиа-платформах Twitter, YouTube, Flickr, Tumblr, Google+, Facebook и Instagram (Facebook и Instagram принадлежат компании Meta, признанной экстремистской организацией и запрещенной в РФ). Кроме этого, подразделение управляет сайтами на иностранных языках, которые поддерживают имидж США за рубежом, анализируют текущую внешнеполитическую ситуацию, осуществляют проверку электронных адресов и каналов.
外交展開の新しいベクトルとして概説された戦略を実施するために、米国では多くの特別なサービスが創設されつつある。特に、2000年代初頭には「デジタル外交室」が設置された。オフィス内には、ソーシャルネットワークやコミュニティなどを扱ういくつかの分野が設けられている。特に、政府に対する抗議行動を組織するソーシャルメディア・グループを確保するために、リトアニアでソーシャルメディアを評価し、会議やワークショップを開催したり、中国でアメリカ文化の認識に関するワークショップを開催したり、東ティモールで若者の市民参加を教えるワークショップを開催したりしている。さらに、デジタル外交プロジェクトは、パブリック外交のための戦略、アプリ、ツールを開発している。これと並行して、グローバル・パブリック・アフェアーズ・オフィスの一部門であるデジタル・エンゲージメント・オフィス(ODE)は、外交政策と対外的なアウトリーチを担当している。その任務には、ツイッター、ユーチューブ、フリッカー、タンブラー、グーグル+、フェイスブック、インスタグラム(フェイスブックとインスタグラムは、過激派組織と認定されロシアで禁止されているメタ社に属している)というメディア・プラットフォームにおける米国の外交政策機関の公式プレゼンスのサポートが含まれる。さらに、海外におけるアメリカのイメージをサポートする外国語のウェブサイトを管理し、現在の外交情勢を分析し、メールアドレスやチャンネルを検証している。
Сегодня основу глобальной политики составляют цифровая геополитика и цифровая дипломатия. В частности, «Стратегия кибербезопасности США» (National Cybersecurity Strategy 2023) утвержденная в марте 2023 года, ориентирована на обеспечение безопасности американских информационных систем, на «расширение американского влияния в мире», «приверженность продвижению интересов США в киберпространстве» и «постоянную борьбу со стратегическими противниками», в числе которых Россия, Китай, Иран и Северная Корея. 今日、デジタル地政学とデジタル外交は世界政治の基盤を形成している。特に、2023年3月に承認された米国の国家サイバーセキュリティ戦略2023は、米国の情報システムの安全性の確保、「世界における米国の影響力の拡大」、「サイバー空間における米国の利益の推進へのコミットメント」、ロシア、中国、イラン、北朝鮮を含む「戦略的敵対国との絶え間ない闘い」に焦点を当てている。
В рамках европейской стратегии цифровой дипломатии обозначены ключевые направления развития в отношении усиления внешней политики для противодействия информационным, цифровым, гибридным угрозам и манипуляцией информацией, укрепления цифрового суверенитета, обеспечения информационной и коммуникационной безопасности, усиления вовлеченности в киберсферу и использования всех инструментов цифровой дипломатии. Параллельно, цифровая геополитика включает области искусственного интеллекта, больших данных, спутниковой системы и оптоволоконных кабелей. В частности, в Давосе одной из основных тенденций 2023 года была названа геополитическая реорганизация глобальных цепочек поставок. Это подтверждается трендами, которые выделили в Diplo: развитие цифровой геополитики в сфере ИИ, данных, чипов, оптоволоконных кабелей и спутников. Таким образом, роль технологий значительно возрастет в геополитической сфере, где цифровая дипломатия становится частью международных отношений и имеет положительное влияние на определенные аспекты дипломатической деятельности и связанные с нововведениями риски. Положительное влияние цифровой дипломатии характеризуется демократизацией дипломатических институтов за счет новых возможностей негосударственных акторов и появления различных видов взаимодействия. Среди рисков можно выделить использование информационных технологий для подрыва доверия к этим институтам и появление новых форм поведения и мобилизации пользователей, которые требуют инструментов прогнозирования.  欧州デジタル外交戦略は、情報、デジタル、ハイブリッドの脅威、情報操作に対抗するための外交政策の強化、デジタル主権の強化、情報通信の安全保障の確保、サイバー・エンゲージメントの強化、あらゆるデジタル外交ツールの活用に関して、主要な発展分野を概説している。並行して、デジタル地政学には、人工知能、ビッグデータ、衛星、光ファイバーケーブルの分野も含まれる。特にダボス会議では、グローバル・サプライ・チェーンの地政学的再編成が2023年の主要トレンドのひとつに挙げられている。これは、ディプロが強調したトレンド、すなわちAI、データ、チップ、光ファイバーケーブル、衛星におけるデジタル地政学の発展によって裏付けられている。デジタル外交が国際関係の一部となりつつあり、外交のある側面やイノベーションに伴うリスクにプラスの影響を与える。デジタル外交のポジティブな影響は、非国家主体にとっての新たな機会や様々なタイプの相互作用の出現を通じた外交機関の民主化によって特徴づけられる。一方、リスクとしては、こうした制度に対する信頼を損なう情報技術の利用や、予測ツールを必要とする新しい形の利用者行動や動員の出現が挙げられる。
Таким образом, анализ формирования новых факторов в сфере цифровой дипломатии и своевременная оценка новых методов обеспечит лидерство на новом дипломатическом направлении. したがって、デジタル外交の領域における新たな要因の形成を分析し、新たな手法をタイムリーに評価することが、新たな外交の方向性におけるリーダーシップを確保することになる。

 

20230819-70206

 


このブログ記事からのリンク先...

USC Center on Public Diplomacy

・[PDF] Public Diplomacy: Strengthening U.S. Engagement with the World - A strategic approach for the 21st century

● U.S. Department of State

・2009.06.11 Public Diplomacy: A National Security Imperative

・2017.09.28 From Behind the Screen to Behind the Scenes: Working on Digital Engagement at State

 

米国のサイバーセキュリティ戦略2023

U.S. White House

・2023. 03.04 [PDF] NATIONAL CYBERSECURITY STRATEGY

欧州連合理事会

European Council / Council of the European Union

・2023.06.26 Digital diplomacy: Council sets out priority actions for stronger EU action in global digital affairs

 

Forbs

・2023.02.24 Looking Into 2023: Key Takeaways From Davos

 

これが意外と興味深い!! ぜひ...

DiPLO

Tracking the pulse of digital governance and diplomacy in 2023: A quarterly progress report

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.06.28 EU理事会 デジタル外交 世界のデジタル問題におけるEUの行動強化に向けた優先行動を決定

 

 

| | Comments (0)

2023.09.24

OECD 生成的人工知能のための初期政策検討

こんにちは、丸山満彦です。

OECDが、生成的人工知能のための政策検討についての報告書を公表していますね。。。

AIを擬人的にあつかうのであれば、法人のように管理者を決めて最終的に人に責任が及ぶようにすれば、管理は簡単になるようになるかもですね。。。

個人的に気になるのは、生成的AIによる偽情報による社会混乱でしょうね。。。偽情報による社会混乱は、「情報の生成」+「情報の拡散」、ということだろうと思いますが、「情報の拡散」はSNSで容易に可能となっているので、「情報の生成」が問題が、生成的AIで容易にできるようになると、社会問題となる可能性はありますね。

AIで生成したものにマークをつけるという方法もありますが、悪意のある人に対しの効果は低いかもですね。。。

 

OECD

・2023.09.18 Initial policy considerations for generative artificial Intelligence

・[PDF]

20230924-104747

 

Initial policy considerations for generative artificial Intelligence 生成的人工知能のための初期政策検討
Generative artificial intelligence (AI) creates new content in response to prompts, offering transformative potential across multiple sectors such as education, entertainment, healthcare and scientific research. However, these technologies also pose critical societal and policy challenges that policy makers must confront: potential shifts in labour markets, copyright uncertainties, and risk associated with the perpetuation of societal biases and the potential for misuse in the creation of disinformation and manipulated content. Consequences could extend to the spreading of mis- and disinformation, perpetuation of discrimination, distortion of public discourse and markets, and the incitement of violence. Governments recognise the transformative impact of generative AI and are actively working to address these challenges. This paper aims to inform these policy considerations and support decision makers in addressing them.  生成的人工知能(AI)は、プロンプトに応答して新しいコンテンツを作成し、教育、エンターテインメント、ヘルスケア、科学研究など、さまざまな分野に変革の可能性を提供する。労働市場における潜在的なシフト、著作権の不確実性、社会的偏見の永続化に伴うリスク、偽情報や操作されたコンテンツの作成における悪用の可能性などである。その結果、誤った情報や偽情報の流布、差別の永続化、言論や市場の歪曲、暴力の扇動にまで及ぶ可能性がある。各国政府は、生成的AIの変革的影響を認識し、これらの課題に積極的に取り組んでいる。本稿は、このような政策的考察に情報を提供し、意思決定者がこれらの課題に取り組むことを支援することを目的としている。 

 

目次...

Foreword 序文
Executive summary 要旨
1 Introduction to generative AI 1 生成的AI入門
Generative AI is centre stage in public, academic and political discourse 生成的AIが公的、学術的、政治的言説の中心に
2 Select policy issues raised by generative AI 2 生成的AIが提起する政策課題を選ぶ
Generative AI is being adopted rapidly in key industry sectors 主要産業分野で急速に導入が進む生成的AI
Generative AI considerably amplifies mis- and disinformation’s scale and scope 生成的AIが誤情報・偽情報の規模と範囲を大幅に増幅させる
Bias and discrimination 偏見と差別
Intellectual Property Rights (IPR) issues, including copyright 著作権を含む知的財産権(IPR)問題
Generative AI could impact labour markets on a different scale and scope 生成的AIは労働市場に異なる規模と範囲で影響を与える可能性がある
3 Potential futures for generative AI 3 生成的AIの未来の可能性
Development trajectories of large-language and image-generating models 大規模言語モデルと画像生成モデルの発展軌跡
Generative AI markets are projected to continue growing rapidly in key areas 生成的AI市場は主要分野で急成長を続けると予測される
Potential future concerns and risks 将来起こりうる懸念とリスク
Risk mitigation measures リスク軽減策
4 Conclusion 4 まとめ
References 参考文献
Notes 備考

 

エグゼクティブサマリー...

Executive summary  要旨 
Generative AI systems create novel content and can bring value as autonomous agents  生成的AIシステムは斬新なコンテンツを創造し、自律的なエージェントとして価値をもたらすことができる。 
Generative artificial intelligence (AI) systems create new content—including text, image, audio, and video—based on their training data and in response to prompts. The recent growth and media coverage of generative AI systems, notably in the areas of text and image generation, has spotlighted AI’s capabilities, leading to significant public, academic, and political discussion.  生成的人工知能(AI)システムは、学習データに基づいて、またプロンプトに応答して、テキスト、画像、音声、動画を含む新しいコンテンツを作成する。最近、特にテキストや画像の生成の分野で、生成的AIシステムが成長し、メディアで取り上げられるようになったことで、AIの能力が注目され、社会、学術、政治的に重要な議論につながっている。 
In addition to generating synthetic content, generative AI systems are increasingly used as autonomous agents with new functionality enabling them to operate on real-time information and assist users in new ways, such as by making bookings autonomously. Investment banks, consulting firms, and researchers project that generative AI will create significant economic value, with some estimating as much as USD 4.4 trillion per year.  合成コンテンツの生成に加え、生成的AIシステムは、リアルタイムの情報に基づいて動作し、自律的に予約を行うなど、新たな方法でユーザーを支援することを可能にする新機能を備えた自律エージェントとして、ますます利用されるようになっている。投資銀行、コンサルティング会社、研究者は、生成的AIが大きな経済価値を生み出すと予測しており、年間4兆4,000億米ドルに達するとの試算もある。 
Generative AI could revolutionise industries and society but carries major risks   生成的AIは産業と社会に革命をもたらす可能性があるが、大きなリスクを伴う  
Generative AI is already used to create individualised content at scale, automate tasks, and improve productivity. Generative AI is yielding benefits in key sectors such as software development, creative industries and arts (e.g., artistic expression through music or image generation), education (e.g., personalised exam preparation), healthcare (e.g., information on tailored preventative care), and internet search.    生成的AIはすでに、個別にカスタマイズされたコンテンツを大規模に作成し、タスクを自動化し、生産性を向上させるために利用されている。生成的AIは、ソフトウェア開発、クリエイティブ産業や芸術(例:音楽や画像生成による芸術表現)、教育(例:パーソナライズされた試験対策)、ヘルスケア(例:オーダーメイドの予防医療に関する情報)、インターネット検索などの主要分野で利益をもたらしている。   
However, alongside the benefits, there are significant policy implications and risks to consider, including in the areas of mis- and disinformation, bias, intellectual property rights, and labour markets.   しかし、誤情報や偽情報、偏見、知的財産権、労働市場などの分野では、メリットとともに、考慮すべき重大な政策的意味合いとリスクがある。  
Major mis- and disinformation risks from synthetic content call for novel policy solutions   合成コンテンツによる重大な誤情報・偽情報リスクは、斬新な政策的解決策を求める  
Humans are less and less capable of differentiating AI from human-generated content, amplifying risks of mis- and disinformation. This can cause material harm at individual and societal levels, particularly on science-related issues, such as vaccine effectiveness and climate change, and in polarised political contexts. Mitigation measures include increasing model size, developing models that provide evidence and reference source material, watermarking, “red-teaming,” whereby teams adopt an attacker mindset to probe the model for flaws and vulnerabilities, and developing AI systems that help detect synthetic content. However, these measures have limitations and are widely expected to be insufficient, calling for innovative approaches that can address the scale of the issue.  人間は、AIと人間が生成したコンテンツを区別する能力がますます低下しており、誤情報や偽情報のリスクを増幅させている。これは、特にワクチンの有効性や気候変動といった科学に関連する問題や、極論化した政治的文脈において、個人や社会レベルで重大な損害を引き起こす可能性がある。緩和策としては、モデルのサイズを大きくすること、証拠や参照元となる資料を提供するモデルを開発すること、電子透かしを入れること、チームが攻撃者の考え方を採用してモデルに欠陥や脆弱性がないか探る「レッド・チーミング」、合成コンテンツの検出を支援するAIシステムを開発することなどが挙げられる。しかし、これらの対策には限界があり、不十分であることが広く予想されるため、問題の規模に対応できる革新的なアプローチが求められている。 
Generative AI, like other types of AI, can echo and perpetuate biases contained in training data   生成的AIは、他のタイプのAIと同様に、学習データに含まれるバイアスを反響させ、永続させる可能性がある。  
Generative AI can echo, automate, and perpetuate social prejudices, stereotypes and discrimination by replicating biases contained in training data. This can exacerbate the marginalisation or exclusion of specific groups. Mitigation approaches include enhanced inclusivity in and curation of training data, explainability research, auditing, model fine-tuning through human feedback, and “red teaming”.  生成的AIは、学習データに含まれる偏見を複製することで、社会的偏見、ステレオタイプ、差別を反響させ、自動化し、永続させる可能性がある。これは、特定のグループの疎外や排除を悪化させる可能性がある。緩和策としては、学習データの包括性の強化やキュレーション、説明可能性調査、監査、人間からのフィードバックによるモデルの微調整、「レッド・チーミング」などがある。 
Legal systems are grappling with generative AI’s implications for intellectual property rights  法制度は生成的AIが知的財産権に与える影響に取り組んでいる 
In particular, generative AI models are trained on massive amounts of data that includes copyrighted data, mostly without the authorisation of rights-owners. Another ongoing debate is whether artificially generated outputs can themselves be copyrighted or patented and if so, to whom.   特に、AI生成モデルは、著作権で保護されたデータを含む膨大な量のデータで学習されるが、そのほとんどは権利所有者の許可を得ていない。また、人工的に生成された出力自体が著作権や特許を取得できるかどうか、できるとすれば誰に対してか、といった議論も続いている。  
Progress in generative AI may increase job task exposure in high-skilled occupations   生成的AIの進歩により、高技能職種の職務への曝露が増加する可能性  
Generative AI’s availability to the public has heightened focus on its potential impact on labour markets. Measures of language model performance on standardised tests, such as the bar exam for qualifying attorneys in the United States, surprised many with its strong results relative to human test-takers, suggesting possible increased job task exposure in high-skilled occupations, though lower-skilled occupations have for now been the most exposed to automation. The OECD Employment Outlook notes that AI can benefit jobs by creating demand for new tasks and complementary skills, resulting in new jobs for which human labour has a comparative advantage. Recent research shows that generative AI can improve the performance of less skilled workers.  生成的AIが一般に利用可能になったことで、労働市場への潜在的な影響に注目が集まっている。米国の弁護士資格のための司法試験のような標準化されたテストにおける言語モデルのパフォーマンスの測定は、人間の受験者に比べて強い結果で多くの人を驚かせ、高技能職業における仕事タスクの露出が増加する可能性を示唆している。OECDの雇用見通しでは、AIは新たなタスクと補完的スキルに対する需要を創出することで雇用に利益をもたらし、その結果、人間の労働力が比較優位を持つ新たな仕事を生み出すことができると指摘している。最近の研究によれば、生成的AIは熟練度の低い労働者のパフォーマンスを向上させることができる。 
Security, surveillance, over-reliance, academic dishonesty and concentration are also risks  セキュリティー、監視、過度の信頼、不正行為、集中力もリスクとなる 
In addition to present-day considerations of generative AI, a longer-term view helps envision the technology’s future trajectories. Generative AI and the synthetic content it produces with varying quality and accuracy can exacerbate challenges. This content proliferates in digital spaces where it is used to train generative AI models, resulting in and a vicious negative cycle in the quality of online information. It also raises concerns about automated and personalised cyber-attacks, surveillance and censorship, overreliance on generative systems despite their flaws, academic dishonesty, and concentrations of power and resources.   生成的AIの現在の考察に加え、より長期的な視点は、この技術の将来の軌跡を描くのに役立つ。生成的AIと、それが生成するさまざまな品質と精度の合成コンテンツは、課題を悪化させる可能性がある。このようなコンテンツは、生成的AIモデルの学習に使用されるデジタル空間で拡散し、結果としてオンライン情報の質に悪循環をもたらす。また、自動化されパーソナライズされたサイバー攻撃、監視と検閲、欠陥があるにもかかわらず生成システムに過度に依存すること、学術的不正、権力と資源の集中といった懸念も生じている。  
Agency, power-seeking, non-aligned sub-goals and other potential emergent behaviours require attention  主体性、権力追求、非同一的なサブゴール、その他の潜在的な出現行動には注意が必要である。 
Over the longer term, emergent behaviours, of which the existence is debated in the AI community, suggest additional risks. These behaviours include increased agency, power-seeking, and developing unknown sub-goals determined by machines to achieve core objectives programmed by a human but that might not be aligned with human values and intent. Some deem that if these risks are not addressed, they could lead to systemic harms and the collective disempowerment of humans.   長期的に見れば、AIコミュニティでその存在が議論されている創発的行動は、さらなるリスクを示唆している。これらの行動には、主体性の増大、権力追求、人間の価値観や意図とは一致しないかもしれないが、人間によってプログラムされた中核的な目標を達成するために機械が決定する未知の副目標の開発などが含まれる。これらのリスクに対処しなければ、体系的な損害や人間の集団的な権限剥奪につながりかねないという意見もある。  
The growing impact and capability of generative AI systems has led to reflection and debates among researchers and members of the OECD.AI Expert Group on AI Futures about whether these types of models could eventually lead to artificial general intelligence (AGI), the stage at which autonomous machines could have human-level capabilities in a wide variety of use cases. Due to its potential broad societal impacts, AGI’s potential benefits and risks deserve attention, as do the potentially imminent impacts of narrow generative AI systems that may be just as significant as AGI.   生成的AIシステムの影響力と能力の高まりは、研究者やOECDのAI専門家グループのメンバーの間で、この種のモデルが最終的に人工的な一般知能(AGI)につながるかどうか、つまり自律的な機械が様々なユースケースにおいて人間レベルの能力を持つ段階に至るかどうかについての考察や議論を引き起こしている。AGIは幅広い社会的影響をもたらす可能性があるため、AGIの潜在的な利益とリスクは注目に値する。また、AGIと同様に重要な意味を持つ可能性のある、狭い範囲の生成的AIシステムの差し迫った影響も注目に値する。  
The longer-term benefits and risks of generative AI could demand solutions on a larger, more systemic scale than the risk mitigation approaches already underway. These measures and others are the topic of ongoing OECD work, including work of the OECD.AI Expert Group on AI Futures.  生成的AIの長期的なメリットとリスクは、すでに進行中のリスク軽減アプローチよりも大規模で体系的な規模の解決策を要求する可能性がある。これらの対策やその他の対策は、AI未来に関するOECD.AI専門家グループの作業を含む、現在進行中のOECD作業のテーマである。 

 

 

| | Comments (0)

米国 ピュー研究所 政府に対する国民の信頼 1958-2023

こんにちは、丸山満彦です。

米国のシンクタンクであるピュー研究所 (Pew Reserch Center) [wikipedia] が米国民の政府に対する国民の信頼について1958年から調査をしているようですが、その報告が興味深いですね。。。

米国連邦政府って、日本政府よりも国民に信頼されているとおもっていたら、どっこいどっこい、むしろ日本の政府のほうが国民に信頼されている?

信頼するか?支持するか?という言葉の違いとかもあるかもですが、に、しても、低い感じを受けました。。。

 

Pew Reserch Center

Public Trust in Government: 1958-2023

20230924-62714

興味深い...

 

| | Comments (0)

米国 AICPA SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと

こんにちは、丸山満彦です。

サイバーセキュリティに関するSECの開示ルールが2023年12月15日以降に終了する事業年度の年次報告書から義務付けられ、2023年12月18日(小規模報告企業は2024年6月15日)以降、企業はサイバーセキュリティに関する重要なインシデントが発生したと判断した場合、4営業日以内に開示することが求められるわけですが、、、

AICPA & CIMAからSECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきことという文書が公表されていますね。。。

AICPA & CIMA

・2023.09.18 What Management Needs to Know About the New SEC Cybersecurity Disclosure Rules

 

・[PDF]

20230924-55300

 

What Management Needs to Know About the New SEC Cybersecurity Disclosure Rules SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
Contents 目次
What management needs to know about the new SEC cybersecurity disclosure rules SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
Certifications regarding disclosure controls and procedures 開示の統制と手続に関する証明
Disclosing material cybersecurity incidents 重要なサイバーセキュリティインシデントの開示
Disclosing cybersecurity risk management and strategy サイバーセキュリティのリスクマネジメントと戦略の開示
Cybersecurity governance and board oversight サイバーセキュリティガバナンスと取締役会の監督
Additional resources その他のリソース
Endnotes 巻末資料
What management needs to know about the new SEC cybersecurity disclosure rules SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
In July of 2023, the SEC adopted rules requiring registrants that are subject to the reporting requirements of the Securities Exchange Act of 1934 to make timely disclosure of material cybersecurity incidents as well as annual disclosure of information regarding their cybersecurity risk management, strategy, and governance. The new annual disclosures will be required starting with annual reports for fiscal years ending on or after December 15, 2023, and will be subject to CEO and CFO Section 302(a) certifications, meaning the assessment of the design and effectiveness of disclosure controls and procedures will need to incorporate the new cybersecurity disclosures. These disclosures cover topics in which the CEO and CFO may not have a high level of expertise. Those responsible for managing cybersecurity (e.g., chief information officer [CIO] or chief information security officer [CISO]) will be providing information for disclosure in SEC filings, requiring a new level of responsibility and accountability. Boards and their relevant committees should also be aware that these new rules require disclosures regarding oversight of cybersecurity risks and consider whether they need to enhance their oversight of the entity’s cybersecurity program in light of the new disclosure requirements. 2023年7月、SECは、1934年証券取引法の報告義務の対象となる登録企業に対し、サイバーセキュリティに関する重要なインシデントの適時開示に加え、サイバーセキュリティのリスクマネジメント、戦略、ガバナンスに関する情報の年次開示を義務付ける規則を採択した。この新しい年次開示は、2023年12月15日以降に終了する事業年度の年次報告書から義務付けられ、最高経営責任者(CEO)および最高財務責任者(CFO)の第302条(a)証明書の対象となる。これらの開示は、最高経営責任者(CEO)や最高財務責任者(CFO)が高度な専門知識を有していない可能性のあるトピックをカバーしている。サイバーセキュリティの管理責任者(最高情報責任者(CIO)や最高情報セキュリティ責任者(CISO)など)は、SEC提出書類で開示する情報を提供することになり、新たなレベルの責任と説明責任が求められる。また、取締役会とその関連委員会は、これらの新規則がサイバーセキュリティリスクの監督に関する開示を要求していることを認識し、新たな開示要件に照らして事業体のサイバーセキュリティプログラムの監督を強化する必要があるかどうかを検討する必要がある。
Cybersecurity information disclosed in SEC filings, including information about material cybersecurity incidents and the company’s risk management, strategy, and governance, is likely to invite scrutiny by the SEC, investors and others. Inconsistencies between the required cybersecurity disclosures and communications on company websites or other public forums could lead to unwanted negative attention or action by regulators and others. 重要なサイバーセキュリティインシデントや企業のリスクマネジメント戦略、ガバナンスに関する情報など、SEC提出書類で開示されるサイバーセキュリティ情報は、SECや投資家などによる精査を招く可能性が高い。必要とされるサイバーセキュリティの開示と、企業のウェブサイトやその他の公的な場でのコミュニケーションとの間に矛盾があれば、規制当局などによる不本意な否定的注目や行動につながる可能性がある。
THE IMPORTANCE OF ACCURATE COMMUNICATIONS 正確なコミュニケーションの重要性
Companies have been subject to SEC enforcement actions regarding cybersecurity disclosures that were inconsistent with facts revealed as a result of cybersecurity events. For example, in 2001 Pearson plc agreed to pay $1 million to settle charges that it misled investors about a 2018 cyber intrusion and had inadequate disclosure controls and procedures when they referred to a data privacy incident as a hypothetical risk, when, in fact, the 2018 cyber intrusion had already occurred.1 サイバーセキュリティの開示が、サイバーセキュリティの事象の結果として明らかになった事実と矛盾していたとして、企業がSECの強制措置の対象となったことがある。例えば、2001年にピアソン・ピーエルシーは、2018年のサイバー侵入について投資家に誤解を与え、実際には2018年のサイバー侵入がすでに発生していたにもかかわらず、データ・プライバシー・インシデントを仮定のリスクとして言及し、開示統制と手続が不十分であったとして、100万ドルの支払いに合意した1。
Certifications regarding disclosure controls and procedures 開示の統制と手続に関する証明
Section 302(a) of the Sarbanes-Oxley Act of 2002 requires the CEO and CFO (or their equivalent) to certify the financial and other information contained in the registrant’s forms 10-K. Among other things, these executives certify that they have designed disclosure controls and procedures (DC&P) to ensure that they are made aware of material information.2 The controls and processes the entity has in place to manage its cybersecurity disclosures are part of DC&P and should be considered when making certifications.  2002年サーベンス・オクスリー法第302条(a)は、最高経営責任者(CEO)および最高財務責任者(CFO)(またはそれに相当する者)に対し、登録者のフォーム10-Kに含まれる財務情報およびその他の情報を証明するよう求めている。とりわけ、これらの経営幹部は、重要な情報を確実に把握するための開示の統制と手続(DC&P) を設計していることを証明する2 。事業体がサイバーセキュリティの開示を管理するために導入している統制とプロセ スは、DC&P の一部であり、証明書を作成する際に考慮すべきである。
Although there are no certification requirements for the 8-K, SEC rules require that DC&P be designed, maintained and evaluated to ensure full and timely disclosure in current reports.3 In other words, even though the CEO and CFO do not have to certify DC&P on form 8-K, they are still responsible for establishing controls and procedures to ensure proper disclosure of material cybersecurity incidents and should be comfortable that they are getting complete and accurate information on a timely basis in order to appropriately disclose material cybersecurity incidents. 8-K には証明要件はないが、SEC 規則は、最新の報告書において完全かつタイムリーな開示を確実にするために、 DC&P を設計し、維持し、評価することを求めている3。言い換えれば、CEO と CFO は、フォーム 8-K 上で DC&P を証明する必要はないとしても、重要なサイバーセキュリティインシデントを適切に開示の統制と手続を確立する責任があり、重要なサイバーセキュリティインシデントを適切に開示するために、完全かつ正確な情報を適時に入手していることに安心すべきなのである。
The information necessary for cyber-related disclosures generally originates with those responsible for managing cybersecurity risks. CEOs and CFOs will need to work with that individual or group of individuals to determine whether current disclosure procedures adequately address information that is required to be disclosed for material cyber incidents as well as cybersecurity risk management strategies and oversight. Some companies may simply need to incorporate existing informal or ad hoc controls and procedures for communicating cyber-related information into the system of disclosure controls and procedures. Other companies may need to build out their existing system of disclosure controls and procedures to include required cybersecurity information. サイバー関連の開示に必要な情報は、一般的にサイバーセキュリティ・リスクのマネジメント責任者から発信される。最高経営責任者(CEO)や最高財務責任者(CFO)は、重要なサイバーインシデントやサイバーセキュリティ・リスクマネジメント戦略・監督について、現在の開示手続が開示すべき情報に適切に対応しているかどうかを判断するために、その個人やグループと協力する必要がある。企業によっては、サイバー関連情報を伝達するための既存の非公式または場当たり的な統制及び手続を開示統制及び手続の体系に組み込むだけでよい場合もある。また、必要なサイバーセキュリティ情報を含めるために、既存の開示統制・手続システムを構築する必要がある企業もあるだろう。
The information necessary for cyber-related disclosures generally originates with those responsible for managing cybersecurity risks. サイバー関連の開示に必要な情報は、一般的にサイバーセキュリティリスクマネジメントの責任者から発信される。
Disclosing material cybersecurity incidents 重要なサイバーセキュリティインシデントの開示
Starting December 18, 2023 (June 15, 2024 for smaller reporting companies) companies will be required to disclose material cybersecurity incidents within four business days of determining that they are material. Although those responsible for managing cybersecurity risks should have already been communicating information about cybersecurity incidents internally or externally due to laws or regulations (including existing SEC requirements), the specificity associated with the new requirements may result in additional scrutiny and responsibility. If information about material incidents is not disclosed, or these disclosures are insufficient, inaccurate, or not timely, the company and individuals within the company may be subject to SEC inquiries or enforcement actions. 2023年12月18日(小規模報告企業は2024年6月15日)以降、企業はサイバーセキュリティに関する重要なインシデントが発生したと判断した場合、4営業日以内に開示することが求められる。サイバーセキュリティ・リスクをマネジメントする責任者は、法律や規制(既存のSECの要件を含む)により、サイバーセキュリティ・インシデントに関する情報をすでに社内外に伝達しているはずであるが、新たな要件に関連する具体性により、さらなる精査と責任が生じる可能性がある。重要なインシデントに関する情報が開示されなかったり、開示が不十分であったり、不正確であったり、タイムリーでなかったりした場合、会社や会社内の個人はSECの照会や強制措置の対象となる可能性がある。
As noted above, processes should be in place to ensure those in charge of cybersecurity risk management communicate events to those in charge of SEC disclosures in a timely manner so that the need for disclosure can be evaluated and, if needed, disclosures made. Guidance may be needed to help those who manage cybersecurity risk understand the type of information that needs to be provided to those preparing the disclosures so that those incidents determined to be material for reporting can be appropriately reported.  上述のように、サイバーセキュリティリスクマネジメントの担当者が、開示の必要性を評価し、必要であれば開示を行うことができるように、SECの開示担当者にタイムリーに事象を伝達するプロセスを確保すべきである。報告にとって重要であると判断されたインシデントが適切に報告されるように、サイバーセキュリティ・リスクを管理する担当者が、開示を準備する担当者に提供する必要がある情報の種類を理解できるようにするためのガイダンスが必要かもしれない。
Determining materiality is key to knowing which cybersecurity incidents need to be disclosed. Both executive management and those responsible for managing cybersecurity risks should be informed and involved in evaluations regarding materiality and whether an incident needs to be disclosed. Various parties (e.g., CISO, CIO, CEO, CFO, legal, board) may have different frames of reference that are relevant for determining whether an incident should be communicated. For example, the SEC’s materiality threshold5 may be different than other thresholds currently used to communicate incidents to other regulatory agencies and affected parties as required by law.6 It is also important to note that the SEC definition of a cybersecurity incident includes a series of related unauthorized occurrences. This means that disclosure requirements apply if related occurrences are material as a whole, even if each individual occurrence is immaterial.  重要性の判断は、どのサイバーセキュリティインシデントを開示する必要があるかを知るための鍵である。経営幹部とサイバーセキュリティリスクを管理する責任者の両方が、重要性とインシデントが開示される必要があるかどうかに関する評価に情報を提供し、関与する必要がある。様々な関係者(例えば、CISO、CIO、CEO、CFO、法務部、取締役会)が、インシデントを伝達すべきかどうかを判断するために関連する異なる参照枠を持っている可能性がある。例えば、SEC の重要性の閾値5 は、法律で義務付けられているように、インシデントを他の規制 機関や影響を受ける関係者に伝達するために現在使用されている他の閾値とは異なる可能性がある6。これは、関連する発生が全体として重要であれば、個々の発生が重要でなくても、開示要件が適用されることを意味する。
Companies must make their materiality determinations “without unreasonable delay.” For example, the SEC has noted that if the materiality determination is to be made by a board committee, intentionally deferring the committee meeting past the normal time it would take to convene members may constitute an unreasonable delay.7 Management may want to document who is ultimately responsible for making the materiality determination and criteria for determining what would constitute an unreasonable delay before they identify an incident that could be material.  企業は、重要性の決定を「不合理な遅延なく」行わなければならない。例えば、SECは、重要性の判断が取締役会の委員会により行われる場合、委員を招集するために通常要する時間を超えて委員会の開催を意図的に延期することは、不合理な遅延に該当する可能性があると指摘している7。経営者は、重要性の可能性があるインシデントを特定する前に、誰が重要性の判断の最終責任者であるか、また何が不合理な遅延に該当するかを判断する基準を文書化しておくとよいであろう。
CYBERSECURITY INCIDENT DISCLOSURES (8-K)4 サイバーセキュリティインシデントの開示(8-K)4
+ Disclose any cybersecurity  incident the registrant experiences that is determined to be material, describing: ・重要であると判断されたサイバーセキュリティインシデントを開示する:
 ·  The material aspects of the nature, scope, and timing of the incident; and  - インシデントの性質、範囲、および時期に関する重要な側面。
 ·  The material impact or reasonably likely material impact of the incident on the registrant, including its financial condition and results of operations.  - インシデントの性質、範囲、タイミングの重要な側面、および財務状況や経営成績など、インシデントが登録者に及ぼす重大な影響または合理的に起こりうる重大な影響。
+ Form 8-K must be filed  within four business days of determining that an incident is material. ・フォーム8-Kは,インシデントが重要であると判断してから4営業日以内に提出しなければならない。
+ A filing may be delayed if  the U.S. Attorney General determines immediate disclosure would pose a substantial risk to national security or public safety. ・米国司法長官が,即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断した場合は,提出を延期することができる。
+ Information is material  if there is a substantial likelihood that a reasonable shareholder would consider it important in making an investment decision, or if it would have significantly altered the total mix of information made available. ・合理的な株主が投資判断をする際にその情報を重要視する可能性が高い場合,またはその情報が入手可能な情報の組み合わせを大きく変える可能性がある場合,その情報は重要である。
Comparable disclosures are required by foreign private issuers on Form 6-K. 外国の非公開発行体には、Form 6-Kで同等の開示が求められている。
Disclosing cybersecurity risk management and strategy サイバーセキュリティのリスクマネジメントと戦略の開示
In addition to disclosing material cybersecurity incidents, the rules require companies to disclose information about their cybersecurity risk management processes and strategy, beginning with the annual report for any period ending on or after December 15, 2023. Management and the SEC disclosure team should work with those responsible for managing cybersecurity risks to ensure they have an adequate understanding of the company’s process for identifying, managing, and overseeing cybersecurity risks so that proper disclosure can be made in the 10-K.  重要なサイバーセキュリティインシデントの開示に加え、2023年12月15日以降に終了する期間の年次報告書から、企業はサイバーセキュリティリスクマネジメントのプロセスと戦略に関する情報を開示することが規則で義務付けられている。経営陣とSECのディスクロージャー・チームは、サイバーセキュリティ・リスクの管理責任者と協力して、サイバーセキュリティ・リスクを特定、管理、監督するための会社のプロセスを十分に理解し、10-Kで適切な開示ができるようにすべきである。
While the new rules provide some specific information that should be disclosed when describing the company’s processes for assessing, identifying, and managing material risks from cybersecurity threats, it also notes that the specific information is not all-inclusive and that registrants should also disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes. The AICPA’s Description Criteria for Management’s Description of the Entity’s Cybersecurity Risk Management Program presents multiple criteria that management may consider when determining what information a reasonable investor may find useful in understanding the company’s cybersecurity processes. This framework may also be useful in determining what to communicate with the board or other stakeholders. 新規則は、サイバーセキュリティの脅威による重大なリスクをアセスメントし、特定し、マネジメントするための会社のプロセスを説明する際に開示すべきいくつかの具体的な情報を提供しているが、具体的な情報はすべてを網羅するものではなく、登録者は、合理的な投資家が自社のサイバーセキュリティ・プロセスを理解するために、自社の事実と状況に基づいて必要なあらゆる情報も開示すべきであると指摘している。AICPAの「事業体のサイバーセキュリティ・リスクマネジメント・プログラムに関するマネジメントの説明のための記述基準(Description Criteria for Management's Description of the Entity's Cybersecurity Risk Management Program)」は、合理的な投資家が会社のサイバーセキュリティ・プロセスを理解する上で有用と思われる情報を決定する際に、マネジメントが考慮しうる複数の基準を提示している。このフレームワークは、取締役会やその他の利害関係者と何をコミュニケーションすべきかを決定する際にも有用であろう。
RISK MANAGEMENT AND STRATEGY DISCLOSURES (10-K)8 リスクマネジメントと戦略の開示(10-K)8
+ The registrant’s processes, if any, for  assessing, identifying, and managing material risks from cybersecurity threats in sufficient detail for a reasonable investor to understand those process. 
・サイバーセキュリティの脅威による重大なリスクをアセスメントし、識別し、マネジメントするための登録者のプロセスがある場合は、合理的な投資家がそれらのプロセスを理解できるよう十分に詳細に記載する。
Including whether: 以下を含む:
 ·  The described cybersecurity processes have been integrated into the registrant’s overall risk management system or process, and if so, how;   - 説明されているサイバーセキュリティプロセスが、登録者の全体的なリスクマネジメントシステムまたはプロセスに統合されているかどうか、統合されている場合はその方法; 
 ·  The registrant engages assessors, consultants, auditors, or other third parties in connection with any such processes; and  - 登録者は、そのようなプロセスに関連して、評価者、コンサルタント、監査人、またはその他のサードパーティを雇用しているか。
 ·  The registrant has processes to oversee and identify material risks from cybersecurity threats associated with its use of any third- party service provider   - 登録者は、サードパーティ・サービス・プロバイダの使用に関連するサイバーセキュリティの脅威による重大なリスクを監督し、識別するプロセスを有している。
The above list is not all-inclusive. Registrants should additionally disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes. 上記のリストはすべてを網羅するものではない。登録者は、合理的な投資家が自社のサイバーセキュリティプロセスを理解するために、自社の事実と状況に基づき必要な情報を追加的に開示すべきである。
+ Whether any risks from cybersecurity  threats, including as a result of any previous cybersecurity incidents, have materially affected or are reasonably likely to materially affect the registrant, including its business strategy, results of operations, or financial conditions and if so, how. ・サイバーセキュリティの脅威によるリスク(過去のサイバーセキュリティインシデントの結果を含む)が、事業戦略、経営成績、財務状況など、登録者に重大な影響を与えたか、または与える可能性があるかどうか、また与える可能性がある場合はどのように与えるか。
Comparable disclosures are required by foreign private issuers on Form 20-F. 外国の非公開発行体には、Form 20-Fで同等の開示が義務付けられている。
Managing Risk from Service Providers  サービスプロバイダーからのリスクマネジメント 
The SEC has noted an increasing number of cybersecurity incidents pertain to service providers.9 Because of the associated risk, the rules require disclosure of whether the company has processes to oversee and identify the cybersecurity risks associated with its use of any third-party service providers. A System and Organization Controls (SOC) 2® report from a service provider can be an important component of an effective strategy for managing the cybersecurity risks of service providers. While similar in structure and content to the SOC 1® reports used in evaluating internal control over financial reporting, SOC 2 reports provide information for evaluating the internal control of service providers on other matters. The culmination of an examination performed by an independent CPA, a SOC 2 report can address controls relevant to the security, availability and processing integrity of the systems used to provide services to its users and the confidentiality and privacy of the information these systems process. Management can use a SOC 2 report in its evaluation of certain risks associated with doing business with the service provider.  SECは、サービス・プロバイダに関するサイバーセキュリティ・インシデントが増加していることを指摘している9 。このようなインシデントにはリスクが伴うため、SECは、サードパーティ・サービス・プロバイダの利用に関連するサイバーセキュリティ・リスクを監督・特定するプロセスを会社が有しているかどうかの開示を義務付けている。サービス・プロバイダからのSOC(System and Organization Controls)2®報告書は、サービス・プロバイダのサイバーセキュリティ・リスクをマネージするための効果的な戦略の重要な構成要素となり得る。SOC 2報告書は、財務報告に係る内部統制の評価に使用されるSOC 1®報告書と同様の構成および内容であるが、その他の事項に関するサービス・プロバイダの内部統制を評価するための情報を提供するものである。独立した公認会計士による検査の集大成であるSOC 2報告書は、ユーザーへのサービス提供に使用されるシステムのセキュリティ、可用性、処理の完全性、およびこれらのシステムが処理する情報の機密性とプライバシーに関連する統制を取り上げることができる。マネジメントは、サービス・プロバイダとの取引に関連する特定のリスクの評価にSOC 2報告書を利用することができる。
Cybersecurity governance and board oversight サイバーセキュリティガバナンスと取締役会の監督
The new SEC requirements include disclosure about both management and the board’s oversight of cybersecurity risk. As part of their oversight, the board may evaluate whether the company’s cybersecurity risk management program is sufficiently robust, or if there are gaps that should be filled. Management related disclosures include a discussion of the relevant expertise of those members of management responsible for measuring and managing cybersecurity risk. SEC の新しい要件には、サイバーセキュリティリスクに関するマネジメントと取締役会の監督に関する開示が含まれている。取締役会は、その監督の一環として、会社のサイバーセキュリティ・リスクマネジメント・プログラムが十分に強固であるかどうか、あるいは埋めるべきギャップがあるかどうかを評価することができる。マネジメントに関連する開示には、サイバーセキュリティリスクの測定と管理を担当するマネジメントメンバーの関連する専門知識についての議論が含まれる。
Management should be prepared to provide support as board members exercise their oversight responsibilities. An open and frequently utilized line of communication between the board and those responsible for managing cybersecuirty risk will make it easier to address cybersecurity concerns real-time and before an incident occurs. 経営陣は、取締役会のメンバーが監督責任を行使する際にサポートを提供できるように準備しておく必要がある。取締役会とサイバーセキュリティリスクマネジメントの責任者との間にオープンで頻繁に利用されるコミュニケーションラインがあれば、サイバーセキュリティに関する懸念にリアルタイムで、インシデントが発生する前に対処することが容易になる。
Management may expect questions from the board, such as the following,11 as the board obtains an understanding of the company’s cybersecurity risk management process: 取締役会が会社のサイバーセキュリティ・リスク管理プロセスを理解するために、マネジメントは取締役会から以下のような質問11 を受けることがある:
What framework, if any, does management use in designing their cybersecurity risk management program (e.g., NIST CSF, ISO/IEC 27001/27002, SEC cybersecurity guidelines, AICPA Trust Services Criteria)? 経営陣は、サイバーセキュリティリスクマネジメントプログラムの設計にどのようなフレームワーク(NIST CSF、ISO/IEC 27001/27002、SEC サイバーセキュリティガイドライン、AICPA トラストサービス基準など)を使用しているか。
+  What framework, if any, does management use in communicating pertinent information about its cybersecurity management program? ・経営陣は、サイバーセキュリティ管理プログラムに関する適切な情報をコミュニケーショ ンする際に、どのようなフレームワークを使用しているか(もしあれば)。
+  What processes and programs are in place to periodically evaluate the cybersecurity risk management program and related controls? ・サイバーセキュリティリスクマネジメントプログラムと関連する統制を定期的に評価するために,どのようなプロセスとプログラムがあるか。
+  What cybersecurity policies, processes, and controls are in place to detect, respond to, mitigate, and recover from – on a timely basis – cybersecurity events that are not prevented? ・防止できなかったサイバーセキュリティ事象をタイムリーに検知,対応,軽減,回復するために,どのようなサイバーセキュリティポリシー,プロセス,統制が整備されているか。
+  In the event of a cybersecurity breach, what controls are in place to help ensure that the IT department and appropriate senior management (including board members charged with governance) are informed and engaged on a timely basis—and that other appropriate responses and communications take place?  ・サイバーセキュリティ侵害が発生した場合、IT 部門および適切な上級管理職(ガバナンスを担 当する取締役会メンバーを含む)にタイムリーに情報を提供し、関与させ、その他の適切な対応とコ ミュニケーションを実施するために、どのような統制が整備されているか。
+  What policies, processes and controls are in place to address the impact to the company of a cybersecurity breach at significant/relevant vendors and business partners with whom the company shares sensitive information? Do those policies include risk identification and mitigation procedures?  ・重要/関連性の高いベンダーや,機密情報を共有するビジネス・パートナーにおけるサイバーセキュリティ侵害が会社に与える影響に対処するために,どのような方針,プロセス,統制が整備されているか。それらのポリシーには,リスクの特定と低減の手順が含まれているか。
+  Has the company conducted a cyber event simulation as part of its approach to enterprise risk management? ・エンタープライズリスクマネジメントの一環として,サイバーイベントのシミュレーショ ンを実施したか。
 +  Has the company considered cost mitigation/risk transfer options in the form of cyber insurance coverage in the event of a cybersecurity breach?   ・サイバーセキュリティ侵害が発生した場合に、サイバー保険の適用という形でコスト低減/リスク移転の選択肢を検討したか。
+  Does the company have adequate staff with appropriate skills to design and operate an effective cybersecurity risk management program? ・会社は,効果的なサイバーセキュリティリスクマネジメントプログラムを設計し,運用するための適切なスキルを持つ適切なスタッフを有しているか。
Given the emphasis on materiality, the board may also ask questions such as the following to understand how materiality of a cybersecurity incident is being evaluated: 重要性が重視されていることから、取締役会は、サイバーセキュリティインシデントの重要性がどのように評 価されているかを理解するために、次のような質問をすることもある:
+  How do we validate that the process for determining materiality is sound and thoroughly documented? ・重要性を決定するプロセスが健全であり,十分に文書化されていることをどのように検証するか。
+  Has the company created a method to track related occurrences to see if they qualify as being material? ・会社は,関連する発生を追跡して,それらが重要であると認定されるかどうかを確認する方法を作成したか?
INLINE EXTENSIBLE BUSINESS REPORTING LANGUAGE (XBRL)10 インライン拡張ビジネス報告言語(XBRL)10
All registrants must tag disclosures required under the final rules in Inline XBRL beginning one year after initial compliance with the related disclosure requirement. すべての登録会社は、関連する開示要件の初回遵守から1年後に、最終規則に基づき要求される開示をインラインXBRLでタグ付けしなければならない。
DISCLOSING CYBERSECURITY RISK GOVERNANCE (10-K)12 サイバーセキュリティリスクガバナンスの開示(10-K)12
+ Description of the board’s  oversight of risks from cybersecurity threats and: ・サイバーセキュリティの脅威とリスクに対する取締役会の監督についての説明:
 ·  Identification of any board committee or subcommittee responsible for such oversight (if applicable); and  - サイバーセキュリティの脅威によるリスクに対する取締役会の監視の説明と、そのような監視を担当する取締役会の委員会または分科委員会の特定(該当する場合)。
 ·  Description of the process by which the board (or committee) is informed about such risks.  - 取締役会(または委員会)がそのようなリスクについて報告を受けるプロセスの説明。
+ Management’s role in  assessing and managing material risks from cybersecurity threats.   ・サイバーセキュリティの脅威による重大リスクのアセスメントと管理におけるマネジメントの役割。
Including: 以下を含む:
 ·  Whether and which management positions or committees are responsible for assessing and managing such risks, and the relevant expertise of such persons or members in such detail as necessary to fully describe the nature of the expertise;  - そのようなリスクのアセスメントと管理に責任を負うマネジメントの役職または委員会の有無と、そのような役職または委員会のメンバーの関連する専門知識を、その専門知識の性質を十分に説明するために必要な限り詳細に記載する;
 ·  The processes by which such persons or committees are informed about and monitor the prevention, mitigation, detection, and remediation of cybersecurity incidents; and
 - そのような担当者または委員会が、サイバーセキュリティインシデントの予防、低減、検知、および是正について通知を受け、監視するプロセス。
 ·  Whether such persons or committees report information about such risks to the board of directors or a committee or subcommittee of the board of directors  - そのような担当者または委員会が、そのようなリスクに関する情報を取締役会または取締役会の委員会もしくは小委員会に報告するかどうか。
The above list is not all-inclusive. Registrants should additionally disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes. 上記のリストはすべてを網羅するものではない。登録者は、合理的な投資家が自社のサイバーセキュリティプロセスを理解するために、自社の事実と状況に基づいて必要な情報を追加的に開示すべきである。
Comparable disclosures are required by foreign private issuers on Form 20-F. 同様の開示は、外国の非公開発行体がフォーム20-Fで要求している。
CPAs CAN HELP! 公認会計士も協力できる!
Start a conversation with your CPA. In addition to being well versed in SEC disclosure, CPAs understand business and financial risk. Cybersecurity is another type of risk that a business must manage, and CPAs are able to put cybersecurity risks in perspective against other business risks that their clients may be facing. CPAs understand the environment in which businesses operate, and can use their knowledge of the client’s industry and local market influences to help offer perspective about how cybersecurity considerations fit with other business risks. In addition to providing insights regarding cybersecurity disclosures, CPAs can assess and report on cybersecurity processes and disclosures. Obtaining any level of assurance by a CPA involves obtaining an understanding of the processes, systems, and data, as appropriate, and then assessing the findings in order to support an opinion or conclusion. Further, CPAs: 公認会計士と話を始めよう。公認会計士はSECの情報開示に精通しているだけでなく、ビジネスリスクや財務リスクを理解している。サイバーセキュリティは、ビジネスがマネジメントしなければならないもう一つのタイプのリスクであり、CPAは、クライアントが直面しているかもしれない他のビジネスリスクと照らし合わせてサイバーセキュリティのリスクを考えることができる。公認会計士はビジネス環境を理解しており、クライアントの業界や地域市場の影響に関する知識を活用して、サイバーセキュリティへの配慮が他のビジネスリスクとどのように適合するかという視点を提供することができる。サイバーセキュリティの開示に関する見識を提供するだけでなく、公認会計士はサイバーセキュリティのプロセスと開示に関する評価と報告も行うことができる。公認会計士がどのようなレベルの保証を取得する場合でも、プロセス、システム、データについて適宜理解を深め、意見または結論を裏付けるために所見を評価することが含まれる。さらに、公認会計士は次のような能力を有している:
+  Have a long history of and are highly experienced at independently gathering evidence to assess internal controls and the reliability and accuracy of data and information that is used to make decisions and is reported externally. ・内部統制や、意思決定に使用され外部に報告されるデータおよび情報の信頼性と正確性を評価するための証拠を独自に収集することに長い歴史があり、その経験も豊富である。

+  Are required by professional standards to plan and perform assurance engagements with professional skepticism. ・専門家として懐疑的に保証業務を計画し,実施することが標準によって要求されている。
+  Are experienced in reporting on compliance with various established standards and frameworks. ・様々な標準やフレームワークへの準拠を報告する経験を有する。
+  Are required to maintain a system of quality control that is designed to provide the CPA firm with confidence that its engagement partners and staff complied with applicable standards and the reports issued by the CPA firm are appropriate. ・公認会計士事務所には、その業務執行社員及びスタッフが適用される基準を遵守し、公認会計士事務所が発行する報告書が適切であるとの確信を提供するように設計された品質管理システムを維持することを求められている。
+  Are required to adhere to continuing professional education, independence, ethics and experience requirements, including specialized training. ・継続的な専門教育、独立性、倫理及び経験(専門教育を含む)の遵守が求められる。
Additional resources その他のリソース
+  Helping Companies Meet the Challenges of Managing Cybersecurity Risk ・サイバーセキュリティリスクマネジメントの課題への企業の対応を支援する。
+ Cybersecurity Risk Management Oversight: A Tool for Board Members ・サイバーセキュリティ・リスクマネジメントの監督: 取締役会メンバーのためのツール
+ SOC for Cybersecurity: Information for organizations ・サイバーセキュリティのためのSOC: 組織のための情報
+ CGMA Cybersecurity Tool ・CGMAのサイバーセキュリティツール
+ AICPA’s Description Criteria for Management’s Description of the Entity’s Cybersecurity Risk Management Program ・事業体のサイバーセキュリティ・リスク管理プログラムに関するマネジメントの説明のための AICPA の説明基準
+ AICPA’s Trust Services Criteria ・AICPA のトラストサービス基準

 

Endnotes
1   Source: https://www.sec.gov/news/press-release/2021-154
2   Source: https://www.sec.gov/rules/final/33-8124.htm Exchange Act Rules 13a-14 and 15d-14 
3   Source: https://www.sec.gov/rules/final/33-8124.htm
4   Source: https://www.sec.gov/rules/final/2023/33-11216.pdf
5   According to the SEC’s discussion of the final amendments , “information is material if ‘there is a substantial likelihood that a reasonable shareholder would  consider it important in making an investment decision, or if it would have ‘significantly altered the ‘total mix’ of information made available.’” Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Final Rule (pg 80)
SECの最終改正に関する議論によると、「合理的な株主が投資判断を行う際に重要視する可能性が相当程度ある場合、または入手可能な情報の "総合的な組み合わせ "を大幅に変更する可能性がある場合、その情報は重要である」とされている。
https://www.sec.gov/rules/final/2023/33-11216.pdf
6   The proposed rule discussion materials noted several cybersecurity incident disclosure requirements adopted by various industry regulators and contractual counterparties and stated that “All of the aforementioned data breach disclosure requirements may cover some of the material incidents that companies would need to report under the proposed amendments, but not all incidents.” Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Proposed Rule (pg 58)
規則案の討議資料では、様々な業界規制当局や契約相手先が採用しているサイバーセキュリティインシデント開示要件がいくつかあることに言及し、"前述のデータ漏洩開示要件はすべて、改正案に基づき企業が報告する必要がある重要なインシデントの一部をカバーする可能性はあるが、すべてのインシデントをカバーするわけではない "と述べている。
https://www.sec.gov/files/rules/proposed/2022/33-11038.pdf
7   Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Final Rule (pg 37) 
SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示 提案規則 SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示 最終規則
https://www.sec.gov/rules/final/2023/33-11216.pdf
8   Source: https://www.sec.gov/rules/final/2023/33-11216.pdf
9   Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Proposed Rule (pg 8) 
SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示規則案
https://www.sec.gov/files/rules/ proposed/2022/33-11038.pdf
10 Source: https://www.sec.gov/rules/final/2023/33-11216.pdf 
11 Cybersecurity Risk Management Oversight: A Tool for Board Members
サイバーセキュリティ・リスクマネジメントの監督: 取締役会メンバーのためのツール
https://thecaqprod.wpengine.com/wp-content/uploads/2019/03/caq_cybersecurity_ risk_management_oversight_tool_2018-04.pdf
Source: https://www.sec.gov/rules/final/2023/33-11216.pdf

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

採択後...

・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

 

これが採択された段階...

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択



案をだしている段階...

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

 

| | Comments (0)

2023.09.23

個人情報保護委員会 デジタル庁の公金受取口座誤登録事案、富士通 Japanが開発したシステムが複数自治体で申請者以外の証明書を交付した事案について行政上の対応を公表 (2023.09.20)

こんにちは、丸山満彦です。

個人情報保護委員会が、第254回個人情報保護委員会を開催し、デジタル庁の公金受取口座誤登録事案、富士通 Japanが開発したシステムが複数自治体で申請者以外の証明書を交付した事案について行政上の対応を公表していますね。。。

ニュースでは、個人情報保護委員会が、デジタル庁と国税庁に行政指導をしたことが話題になっていたりしますね。。。個人情報保護員会は、行政委員会で、)内閣府設置法49条・64条に基づき設置される内閣府の外局で、国家公務員法3条に基づき内閣に設置されるいわゆる第三条委員会に準じた独立性をもっている組織ですね。。。個人情報保護委員長は、衆参両議院の同意を得て内閣総理大臣が任命することになっています。。。これは個人情報保護委員会の前身の特定個人情報保護委員会の設置を検討するときに、政府機関も含めて監督できるようにしないと国民の信頼も得にくいし、EUを意識しても当然そうすべきだよ、、、という話をしていました。。。

 

1_20230923062201

 

まずは、公金受取口座誤登録事案...

 

個人情報保護委員会

・2023.09.20 公金受取口座誤登録事案に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について

・[PDF] 公金受取口座誤登録事案に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について 

20230923-60715

・[PDF] デジタル庁に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について 

20230923-62407

・[PDF] 国税庁に対する特定の個人を識別するための番号の利用等に関する法律に基づく行政上の対応について 

20230923-62418

 

デジタル庁側の発表...

セキュアバイデザインをちゃんとしますと言っております。。。

 

デジタル庁

・2023.09.20 個人情報保護の更なる強化について

・[PDF] 個人情報保護の更なる強化について

20230923-62610

国税庁は特段発表していませんね。。。

 


 

つぎは、富士通Japanの案件...

・2023.09.20 コンビニ交付サービスにおける住民票等誤交付事案に対する個人情報の保護に関する法律に基づく行政上の対応について

・[PDF] コンビニ交付サービスにおける住民票等誤交付事案に対する個人情報の保護に関する法律に基づく行政上の対応について


20230923-62455

参考

piyolog

富士通JapanのMICJETで相次ぎ発生した証明書誤交付についてまとめてみた

| | Comments (0)

サイバー領域への軍事的適応の課題:オランダの事例研究 (2023.07.13)

こんにちは、丸山満彦です。

Taylor & Francis [wikipedia]という英国の学術書の出版社が扱っている雑誌のいくつかはオンラインで無料で読めるようになっています。。。


そんな中に、「Small Wars & Insurgencies小規模戦争と反乱)」という雑誌があり、「The challenges of military adaptation to the cyber domain: a case study of the Netherlands サイバー領域への軍事的適応の課題:オランダの事例研究)」という論文があったので紹介です。。。

この論文によると、

平時の偵察行為は、情報部門が担い、攻撃(サイバーも含めて)については軍隊が行うことになるが、軍隊に平時における偵察行為が認められていないため、戦時の計画立案のための十分な情報がないのでないか?

ということを課題として認識しているようです。

日本でも新しい安全保障戦略の中で、アクティブサイバーディフェンス(相手のサーバ等を無害化すること)の議論がありますが、その際にも参考になるように思いました。。。

ちなみに、オランダは、

・サイバー司令部の設置は2015年6月。

・国防費を下げ続け(2016年以降上昇しているが、それは定義を変更し、国際協力等も含めたため)、現在はGDPの1%強。

ということのようです。。。

 

Taylor & Francis - Small Wars & Insurgencies

1_20230923052601

・2023.07.13 The challenges of military adaptation to the cyber domain: a case study of the Netherlands

 

 

| | Comments (0)

2023.09.22

カーネギーメロン大学 ソフトウェア工学研究所 ソフトウェアコストの見積もりが時間とともに変化する理由と、DevSecOpsデータがコストリスクの低減に役立つ方法

こんにちは、丸山満彦です。

システム開発に不確実性はつきもので、それをうまくコントロールすることで、システム開発プログラムは成功したり、失敗したりするわけですが、、、

まずは、不確実性が伴うものですよ。。。というのは、すべての利害関係者が理解しておくべきことで、それがどの程度あるのか、というのをタイムリーに共有しておくことがいろいろなトラブルを防ぐ上でも重要なのでしょうね。。。

とはいえ、いろいろと背景を背負っているので、頭の中ではわかっていても、言葉や文字に落とせないこともあり、そういうことがトラブルの原因となっているのでしょうね。。。しらんけど。。。

カーネギーメロン大学のソフトウェア工学研究所に次の文書は興味深いですね。。。

 

Carnegie Mellon UniversitySoftware Engineering Institute

・ 2023.09.21 Why Your Software Cost Estimates Change Over Time and How DevSecOps Data Can Help Reduce Cost Risk

 

・[PDF]

20230922-105812

 

Introduction  序文 
Program managers (PMs) must realize that early estimates are likely to be off by over 40 percent and that programs need to continually update estimates as additional information becomes available. It is important to understand how program risks can impact cost estimates. Tracking items—such as the decisions that have not yet been made, stability of the top capabilities needed, and measurements derived from the DevSecOps pipeline—can all help program management offices (PMOs) better understand program uncertainties that can impact estimates and help increase confidence in estimates over time.  プログラムマネージャ(PM)は、初期の見積もりは40%以上外れる可能性があり、追加情報が入手可能になるにつれて、プログラムは継続的に見積もりを更新する必要があることを認識しなければならない。プログラムのリスクがコスト見積もりにどのような影響を与えるかを理解することが重要である。まだ決定されていない事項、必要とされる上位の能力の安定性、DevSecOpsパイプラインから得られる測定値などの追跡項目はすべて、プログラム管理オフィス(PMO)が見積もりに影響を与える可能性のあるプログラムの不確実性をよりよく理解し、時間の経過とともに見積もりの信頼性を高めるのに役立つ。
DoD Program Estimation Background  国防総省のプログラム見積もりの背景 
Department of Defense (DoD) programs are required to perform cost analyses at various stages of the program lifecycle. For Acquisition Category I (ACAT I) programs, an independent cost estimate is required for each milestone review. These estimates must be approved by the director, Cost Assessment and Program Evaluation (DCAPE), and their fidelity should increase at each successive review as program uncertainties resolve over time. New uncertainties may unfold as the program progresses, but in general, overall uncertainty should progressively be reduced.   国防総省(DoD)のプログラムでは、プログラムライフサイクルの様々な段階でコスト分析を行うことが求められている。取得カテゴリーI(ACAT I)プログラムでは、各マイルストーンのレビューにおいて、独立したコスト見積りが要求される。これらの見積もりは、DCAPE(Cost Assessment and Program Evaluation:コスト評価・プログラム評価)ディレクターの承認を得なければならない。プログラムの進行に伴い、新たな不確実性が発生する可能性はあるが、 一般的には、全体的な不確実性は徐々に低減していくはずである。 
When discussing software cost estimates, it is important to remember this quote by Steve McConnell: “The primary purpose of software estimation is not to predict a project’s outcome; it is to determine whether a project’s targets are realistic enough to allow the project to be controlled to meet them.” A project should not be a “random walk;” instead, it should be a walk with a sequence of course corrections. A sound estimate assures that the outcome is achievable with the available time and resources.   ソフトウエアのコスト見積もりについて議論するとき、スティーブ・マッコー ネル(Steve McConnell)の次の言葉を思い出すことが重要である。"ソフトウ ェア見積もりの主な目的は、プロジェクトの結果を予測することではない。プロジェクトは "ランダムウォーク "であってはならない。健全な見積もりは、結果が利用可能な時間と資源で達成可能であることを保証する。 
The cost estimation process typically starts during an analysis of alternatives (AoA), which is performed during the Materiel Solution Analysis phase leading up to Milestone A. An AoA includes a lifecycle cost baseline for each alternative, the lifecycle cost per unit system, and the lifecycle cost per specified quantity of systems. The AoA is typically performed under contract. The program office typically has a cost section staffed by a combination of military, civilian, and contactors. The program office is ultimately responsible for the program office estimate (POE).  AoAには、各代替案のライフサイクルコスト・ベースライン、単位システム当たりのライフサイクルコスト、特定数量のシステム当たりのライフサイクルコストが含まれる。AoA は通常、契約に基づいて実施される。プログラムオフィスには、通常、軍、民間、コンタクターが組み合わされたコストセクションがある。プログラム事務局は、プログラム事務局見積もり(POE)の最終責任を負う。
Design: REV-03.18.2016.0 | Template: 01.26.2023 設計を行う: REV-03.18.2016.0 | テンプレート 01.26.2023
Typically, multiple contractors submit proposals for the Technology Maturation and Risk Reduction phase. Estimates derived from these proposals are often used to further refine the POE.  通常、複数の契約者が技術熟成とリスク低減フェーズに提案書を提出する。これらの提案から得られた見積もりは、POEをさらに精緻化するために使用されることが多い。
All the POEs should follow the guidance from the DoD Cost Estimation Guide  [DoD 2020]. This guide calls for the estimation to account for risk:  すべての POE は、国防総省コスト見積もりガイド[DoD 2020]のガイダンスに従うべきである。このガイドでは、リスクを考慮した見積りを行うよう求めている: 
A risk is a potential future event or condition that may have a negative effect on cost, schedule, and/or performance. An opportunity is a potential future event or condition that may have a positive effect on cost, schedule, and/or performance. Risk/opportunities have three characteristics: a triggering event or condition, the probability that event or condition will occur, and the consequence of the event or condition should it occur. Analysts often use the terms risk and uncertainty interchangeably. In fact, they are distinct from one another. Uncertainty is the indefiniteness of the outcome of a situation. Uncertainty captures the entire range of possible positive and negative outcomes associated with a given value or calculated result. In a cost estimating model, an analyst generally addresses uncertainty first. The analyst then addresses risks/opportunities if and only if the uncertainty assessment has not already captured them.  リスクとは、コスト、スケジュール、および/またはパフォーマンスに悪影響を及ぼす可能性のある、将来の潜在的な事象または状態のことである。リスクとは、コスト、スケジュール及び/又はパフォーマンスにマイナスの影響を及ぼす可能性のある潜在的な将来の事象又は状態である。リスク/機会には3つの特徴がある:引き金となる事象や条件、その事象や条件が発生する確率、万が一発生した場合の結果である。アナリストは、リスクと不確実性という用語をしばしば同じ意味で使用する。実際には、両者は別物である。不確実性とは、ある状況の結果が確定できないことである。不確実性は、所与の値や計算結果に関連する正負の結果の可能性の全範囲を捉える。コスト見積もりモデルでは、分析者は一般的にまず不確実性に対処する。次に、不確実性アセスメントがまだリスク/機会を捕捉していない場合にのみ、リスク/機会に対処する。
Another way to look at risk in cost estimates and the changes in estimates as a program progresses is using a framework called the Cone of Uncertainty. The first use of the actual term Cone of  コスト見積りにおけるリスクと、プログラムの進行に 伴う見積りの変化を見るもう一つの方法は、不確実性コーン と呼ばれるフレームワークを使用することである。コーン・オブ・アン ケラティという実際の用語が初めて使用されたのは、ソフ トウェアの開発者であった。
Uncertainty for software was by Steve McConnell is his book, Software Project Survival Guide [McConnell 1997]. Chris Adams provides a good summary of this concept on the web [Adams 2023]; we discuss this concept in the next section.  Uncertainty (不確実性コーン)という実際の用語をソフトウェアに初めて使用したのは、スティーブ・マコーネル(Steve McConnell)の著書「ソフトウェア・プロジェクト・サバイバル・ガイド」[McConnell 1997]である。クリス・アダムスは、ウェブ上でこの概念の良い要約を提供している[Adams 2023]。
The Cone of Uncertainty Background  不確実性コーンの背景 
The Cone of Uncertainty is a term often used in project management that describes the phenomenon by which project unknowns decrease over time. The Cone of Uncertainty framework is used in software estimation to determine the most likely outcome; Chris Adams describes it as follows [Adams 2023]:  不確実性コーンとは、プロジェクトマネジメントでよく使われる用語で、プロジェクトの未知数が時間とともに減少する現象を表す。不確実性コーンのフレームワークは、最も可能性の高い結果を決定するためにソフトウェアの見積もりで使用される。Chris Adamsはそれを次のように説明している[Adams 2023]: 
As the project proceeds and more research and development is completed the amount of uncertainty decreases, eventually approaching zero. Project unknowns, or uncertainty, largely correlate to variances in project estimates.  Plotting these variances over time creates a cone or funnel shape (variance percentages shown are only examples, values may vary).  プロジェクトが進行し、より多くの研究開発が完了するにつれて、不確実性の量は減少し、最終的にはゼロに近づく。プロジェクトの未知数、つまり不確実性は、プロジェクトの見積もりにおける差異と大きく相関している。 これらのばらつきを経時的にプロットすると、円錐形または漏斗形になる(示されているばらつきのパーセンテージはあくまで例であり、値は異なる場合がある)。
1_20230922110201
Figure: Cone of Uncertainty (This file is made available under the Creative Commons CC0 1.0 Universal Public Domain Dedication File:Cone of Uncertainty.jpg - Wikimedia Commons)  図: 不確実性コーン形(このファイルは、クリエイティブ・コモンズ CC0 1.0 Universal Public Domain Dedication File:Cone of Uncertainty.jpg - Wikimedia Commonsの下で利用可能である。) 
The Cone of Uncertainty and Iterative Development  不確実性コーンと反復開発 
Applying the Cone of Uncertainty to iterative projects is somewhat more involved than applying it to sequential projects.  不確実性コーン」を反復プロジェクトに適用するのは、逐次プロジェクトに適用するよりもやや複雑である。
If you are working on a project that completes a full development cycle in each iteration (i.e., requirements definition through release), then you will go through a miniature cone during each iteration. Before you do the requirements work for the iteration, you will be at the Approved Product Definition part of the cone, which is subject to 4x the variability from high to low estimates.   各反復(すなわち、要件定義からリリースまで)で完全な開発サイクルを完了するプロジェクトに取り組んでいる場合、各反復の間にミニチュアコーンを通過することになる。イテレーションの要件作業を行う前に、あなたは円錐の承認済み製品定義の部分にいることになり、この部分は、高い見積もりから低い見積もりまで、4倍の変動の影響を受ける。 
In short iterations (less than a month), you can move from Approved Product Definition to Requirements Complete and User Interface Design Complete in a few days, which reduces your variability from 4x to 1.6x. If your schedule is fixed, the 1.6x variability applies to the specific features you can deliver in the time available rather than to the effort or schedule.  短いイテレーション(1ヶ月未満)では、数日で承認済み製品定義から要件完了とユーザーインターフェイス設計完了に移行できるため、変動は4倍から1.6倍に減少する。スケジュールが固定されている場合、1.6倍の変動は、労力やスケジュールではなく、利用可能な時間で提供できる特定の機能に適用される。
Although there are many uncertainties that affect predictability, requirements flow down to design and implementation decisions. Approaches that delay a full requirements specification until the beginning of each iteration also delay narrowing the cone of uncertainty—with respect to cost, schedule, and feature delivery—several iterations down the road. It is difficult, after all, to know when your project will be done if you do not at least specify what done looks like. Your program might highly prioritize flexibility, or it might prefer projects with more predictability.  予測可能性に影響する不確定要素はたくさんあるが、要件は設計と実装の決定に流れ込む。各反復の開始まで完全な要求仕様を遅らせるアプローチは、コスト、スケジュール、および機能の提供に関して、不確実性コーンを数回先の反復まで狭めることも遅らせる。結局のところ、少なくとも完了がどのようなものかを特定しなければ、プロジェクトがいつ完了するかを知ることは難しい。あなたのプログラムは、柔軟性を非常に優先するかもしれないし、より予測可能なプロジェクトを好むかもしれない。
Many development teams settle on a middle ground between flexibility and predictability in which a majority of requirements are defined at the front end of the project, but design, construction, test, and release are performed in short iterations. In other words, the project moves sequentially through the User Interface Design Complete milestone about 30% of the calendar time into the project, and then shifts to a more iterative approach from that point forward. This approach drives down the variability from the cone to about ±25 percent, which allows for project control that is good enough to hit targets while still tapping into the major benefits of iterative development.   多くの開発チームは、柔軟性と予測可能性の中間点に落ち着き、プロジェクトのフロントエンドで要件の大部分を定義するが、設計、構築、テスト、リリースは短いイテレーションで実行する。言い換えれば、プロジェクトは、ユーザーインターフェイス設計完了のマイルストーンを、プロジェクト開始の約30%のカレンダータイムで順次通過し、その時点から、より反復的なアプローチに移行する。このアプローチでは、コーンからの変動幅を±25%程度に抑えることができ、反復型開発の主なメリットを活用しながらも、目標を達成するのに十分なプロジェクトコントロールが可能になる。 
Project teams can leave some amount of planned time for as-yet-to-be-determined requirements at the end of the project. Doing that introduces some minor variability related to the feature set, which, in this case, is positive variability because you will exercise it only if you identify new desirable features to implement. This middle ground supports long-range predictability of cost and schedule as well as a moderate amount of requirements flexibility [Construx 2023]. Even when using this method, unless there is a large user-driven change in the capability needed for the project, the requirements volatility should decrease over time.   プロジェクトチームは、プロジェクトの最後に、まだ決定していない要件のために、ある程度の計画時間を残すことができる。そうすることで、機能セットに関する若干の変動性が生じるが、この場合は、実装すべき新しい望ましい機能を特定した場合にのみ行使することになるので、プラスの変動性である。この中間領域は、コストとスケジュールの長期的な予測可能性と、要件の適度な柔軟性をサポートする[Construx 2023]。この方法を使用する場合でも、プロジェクトに必要な能力にユーザー主導の大きな変更がない限り、要件の変動性は時間の経過とともに減少するはずである。 
Risk and Uncertainty  リスクと不確実性 
Glen Alleman stated the following about uncertainty [Alleman 2018]:   グレン・アレマンは不確実性について次のように述べている[Alleman 2018]:  
Uncertainty comes from the lack information to describe a current state or to predict future states, preferred outcomes, or the actions needed to achieve them. This uncertainty can originate from random naturally occurring processes of the program (Aleatory Uncertainty). Or it can originate from the lack of knowledge about the range of future outcomes from the work on the program (Epistemic Uncertainty).  不確実性は、現在の状態を説明したり、将来の状態、望ましい結果、またはそれらを達成するために必要な行動を予測したりするための情報が不足していることから生じる。この不確実性は、プログラムで自然に発生するランダムなプロセス(Aleatory Uncertainty)に由来することがある。あるいは、プログラムの作業から得られる将来の結果の範囲に関する知識の欠如に起因することもある(認識論的不確実性)。
Aleatory uncertainty can be thought of as common cause variation that is natural to the system. Epistemic uncertainty results from an incomplete understanding or characterization (e.g., a lack of understanding the range of natural variation or incomplete requirements). Finally, ontological uncertainty can be thought of as unknown-unknowns. Whereas epistemic uncertainty represents an incomplete understanding of something we know of, an ontological uncertainty appears as a complete surprise. Ontological uncertainty is often a form of special cause variation that was not anticipated or precedented.   Aleatory Unertaintyは、システムにとって自然な共通の原因による変動と考えることができる。認識論的不確実性は、不完全な理解や特徴付け(例えば、自然変動の範囲や不完全な要件の理解不足)から生じる。最後に、存在論的不確実性は、未知の未知と考えることができる。認識論的不確実性が、我々が知っている何かについての不完全な理解を代表するのに対して、存在論的不確実性は、完全な驚きとして現れる。存在論的不確実性は、多くの場合、予期されていなかったり先行していなかったりする特別な原因による変動である。 
Common cause variation cannot be specifically reduced through management action; instead, it requires technical change. However, in Agile development, several approaches are commonly used to reduce epistemic uncertainty (incomplete knowledge). Frequent increments and product demonstrations allow feedback from both the users and the development process. Feedback with an incomplete product allows unforeseen uses, requirements, or component interactions to be discovered. Development spikes are designed to uncover information (e.g., about performance).   一般的な原因によるばらつきは、マネジメントの行動によって特に減らすことはできない。しかし、アジャイル開発では、認識論的不確実性(不完全な知識)を低減するために、いくつかのアプローチが一般的に使用される。頻繁なインクリメントと製品のデモンストレーションは、ユーザーと開発プロセスの両方からのフィードバックを可能にする。不完全な製品でのフィードバックにより、予期しない用途、要件、またはコンポーネントの相互作用が発見される。開発スパイクは、情報(性能など)を発見するために設計される。 
Sequencing work such that important but uncertain features and capabilities start earlier, not only enables using what was learned in refining and developing those capabilities to “buy down” overall uncertainty, but it also reduces the remaining uncertainty later in the program when there is less opportunity to recover. Taking any or all of these actions early in a program can help improve the accuracy of the overall cost estimate and reduce risk exposure.  重要だが不確実な機能や能力をより早い段階から開始するような作業の順序を決めることで、それらの能力を洗練し開発する際に学んだことを使用して、全体的な不確実性を「買い取る」ことができるだけでなく、回復する機会が少ないプログラムの後半に残る不確実性を低減することもできる。プログラムの初期段階で、これらの措置のいずれか、またはす べてを講じることは、全体的なコスト見積もりの精度を改善し、リ スクエクスポージャーを低減するのに役立つ。
The level of risk and cost estimation uncertainty can also be viewed from the perspective of the lifecycle phases of a system’s development. Even in agile development, it is important to understand the top-level capabilities needed at the start of the program. In the Software Acquisition Pathway, these are described in a capability needs statement [DAU 2023]. These capabilities may change based on operational needs, but requirements changes may increase risk and can lead to increased cost if other capabilities are not swapped out.   リスクとコスト見積もりの不確実性のレベルは、システム開 発のライフサイクルフェーズの観点から見ることもできる。アジャイル開発においても、プログラム開始時に必要とされるトップレベルの能力を理解することが重要である。ソフトウェア取得経路では、これらは能力ニーズ記述書[DAU 2023]に記述される。これらの能力は運用上のニーズに基づいて変更される可能性があるが、要件の変更はリスクを増大させる可能性があり、他の能力を入れ替えなければコスト増につながる可能性がある。 
Another important aspect to consider for reducing risk is to focus on the architecture early in the program. Ensuring the architecture is suitable for both the functional and non-functional requirements can help ensure that large-scale architecture changes will not be required later in the program. A facet of DevSecOps that can reduce risk is early integration and automated testing. The earlier you start integrating and testing code, the sooner any issues or defects can be found. This approach can also reduce overall risks and increase the confidence in cost estimates.  リスクを低減するために考慮すべきもう一つの重要な点は、プログラムの早い段階でアーキテクチャーに焦点を当てることである。アーキテクチャーが機能要件と非機能要件の両方に適していることを確認することで、プログラムの後半で大規模なアーキテクチャー変更が必要にならないようにすることができる。リスクを低減できるDevSecOpsの一面は、早期の統合と自動テストである。コードの統合とテストの開始が早ければ早いほど、問題や不具合を早期に発見することができる。このアプローチは、全体的なリスクを低減し、コスト見積もりの信頼性を高めることもできる。
Some areas to consider when determining your estimation uncertainty include  見積もりの不確実性を判断する際に考慮すべき領域には、次のようなものがある。
1. the decisions that have been made (e.g., reuse, computer languages, architecture)  1. 決定したこと(再利用、コンピュータ言語、アーキテクチャなど)。
2. what has been discovered (i.e., known unknowns and unknown unknowns)  2. 発見されたこと(すなわち、既知の未知と未知の未知)。
3. the overall scope and amount of requirements growth  3. 要件の全体的な範囲と増加量 
4. what can be measured to help understand how much uncertainty remains  4. 不確実性がどの程度残っているかを理解するために測定できるもの 
How Metrics from DevSecOps Pipeline Data Can Help Reduce Estimation Risk  DevSecOpsのパイプラインデータから得られるメトリクスは、見積もりリスクの低減にどのように役立つか 
Metrics can help the program management team better understand and estimate program status and risks. Although measurement does not by itself reduce risk, measurement informs decisions that can reduce risk. Some metrics can originate from contract data requirements list (CDRL) deliveries, such as an earned value management (EVM) report or a metrics report. CDRLs typically provide data from the last one or two months. In modern software development, data obtained from the DevSecOps environment can provide real-time, helpful information.   メトリクスは、プログラムマネジメントチームがプログラムのステータスとリスクをよりよく理解し、見積もるのに役立つ。測定自体がリスクを低減するわけではないが、測定はリスクを低減する意思決定に役立つ。メトリクスの中には、アーンド・バリュー・マネジメント(EVM)レポートやメトリックス・レポートなど、契約データ要件リスト(CDRL)から得られるものもある。CDRLは通常、直近1~2ヶ月のデータを提供する。最新のソフトウェア開発では、DevSecOps環境から得られるデータは、リアルタイムの有益な情報を提供することができる。 
A few metrics you can obtain through the pipeline to better understand and reduce estimation uncertainty include the following:  見積もりの不確実性をよりよく理解し、低減するために、パイプラインを通じて取得できるメトリクスには、次のようなものがある: 
1. Completion Rate Volatility: An example of measuring completion rate volatility is measuring changes in sprint velocity to detect uncertainty. If teams properly estimate their sprint velocity and consistently work at the estimated rate, then overall uncertainty can be reduced because you have more confidence that the epistemic uncertainty has been quantified as a common cause variation and special cause (ontological uncertainty) variations can be identified and addressed. Likewise, teams that start with “low hanging fruit” may gain a false sense of confidence unless they recognize that completion rates closely match the actual progress for easier tasks.    1. 完了率のボラティリティ: 完了率のボラティリティを測定する例として、スプリント・ベロシティの変化を測定して不確実性を検知する方法がある。チームがスプリントベロシティを適切に見積もり、一貫して見積もりレートで作業していれば、認識的不確実性が共通原因の変動として定量化され、特別な原因(識別的不確実性)の変動を特定して対処できるという確信が持てるため、全体的な不確実性を低減できる。同様に、「低くぶら下がった果実」から始めるチームは、完了率がより簡単なタスクの実際の進捗と密接に一致していることを認識しない限り、誤った自信感を得る可能性がある。  
2. Capability Development Progress: Your pipeline can provide data on how many capabilities are fully developed, how many are in progress, and how many remain in the backlog. When working in program increments, it is possible for capabilities to remain incomplete and for predecessors to create dependencies in other areas. Understanding how capability development compares to the plan can help reprioritize work so that key capabilities reach completion. This approach can also help you better understand what uncertainty may remain in your estimates.  2. 能力開発の進捗: パイプラインは、いくつの能力が完全に開発され、いくつの能力が進行中で、いくつの能力がバックログに残っているかについてのデータを提供することができる。プログラムインクリメントで作業する場合、ケイパビリティが未完成のままであったり、前任者が他の領域で依存関係を作成したりする可能性がある。ケイパビリティの開発が計画と比較してどうなっているかを理解することは、重要なケイパビリティが完成に達するように作業の優先順位をつけ直すのに役立つ。また、このアプローチは、見積もりにどのような不確実性が残っているかをよりよく理解するのにも役立つ。
3. Software Quality: Your DevSecOps pipeline should include static and dynamic code scanning tools. These tools, along with counts of defects discovered during testing, allow the PMO to better understand aspects of quality that can cause (1) delays in testing, (2) rework, or (3) operational failures. Good quality software not only requires less time to correct errors rather than produce a new product, but it also increases confidence in the estimates’ accuracy and precision.  3. ソフトウェアの品質: DevSecOpsパイプラインには、静的および動的コードスキャンツールを含めるべきである。これらのツールは、テスト中に発見された不具合の数とともに、PMOが(1)テストの遅延、(2)手戻り、(3)運用上の不具合の原因となる品質の側面をよりよく理解することを可能にする。良質なソフトウエアは、新しい製品を生産するよりも、エラーを修正する時間の方が短いだけでなく、見積もりの正確さと精度の信頼性を高める。
4. User Acceptance: One of the main tenets of agile development is user involvement. If users are regularly involved in end-of-sprint and/or end-of-increment demonstrations, then the PMO can gain an early understanding of how users are reacting to the capabilities being developed. If the user reaction is positive and the number of changes requested is in line with the estimated work, then this can also increase confidence in the initial estimate. On the other hand, unplanned rework can result in additional costs and delays, unless other work is removed to allow the new work requested by the user to take priority within the schedule and budget.   4. ユーザー受容: アジャイル開発の主な考え方の1つは、ユーザーの参加である。ユーザが定期的にスプリント終了時やインプリメント終了時のデモに参加すれば、PMOは開発中の機能に対するユーザの反応を早期に理解することができる。ユーザーの反応が肯定的で、要求された変更の数が見積もり作業と一致している場合、これは初期見積もりの信頼性を高めることにもなる。一方、ユーザーから要求された新しい作業がスケジュールと予算内で優先されるように、他の作業が削除されない限り、計画外の手戻りは追加コストと遅延をもたらす可能性がある。 
5. Organization and Staffing: Using data from tools such as Confluence and Jira, a PMO should be able to see the development organizational structure and the number of people on each team to help understand if the project is fully staffed. Changes can also be tracked to understand staffing volatility. Staffing volatility, in turn, leads to a need to recalibrate team velocity estimates, thus increasing uncertainty until new baseline data is available. If the project is fully staffed with an organizational structure that supports it, then this can reduce estimation risks. If the project is slow to staff up or never reaches the full staffing profile, the estimate must be adjusted to reflect this.  5. 組織と人員配置: ConfluenceやJiraのようなツールのデータを使って、PMOは開発組織構造と各チームの人数を見ることができ、プロジェクトに十分な人員が配置されているかどうかを理解することができる。また、変更を追跡することで、人員配置の変動を把握することもできる。人員配置の変動は、チームベロシティの見積もりを再調整する必要性につながり、新しいベースラインデータが利用可能になるまで、不確実性を増大させる。もし、プロジェクトに十分な人員が配置され、それをサポートする組織体制が整っていれば、見積もりリスクを低減することができる。もし、プロジェクトの人員配置が遅かったり、完全な人員配置に達しなかったりする場合は、それを反映するように見積もりを調整しなければならない。
More information about using data from the DevSecOps pipeline is available in the white paper Program Managers—The DevSecOps Pipeline Can Provide Actionable Data [Cohen 2023].  DevSecOpsパイプラインからのデータの使用に関する詳細は、ホワイトペーパー「Program Managers-The DevSecOps Pipeline Can Provide Actionable Data」[Cohen 2023]に掲載されている。
The Bottom Line  結論 
The primary takeaway from this paper is that early estimates are likely to be off by over 40 percent, and programs need to continually update estimates as additional information is available. Tracking items, such as what decisions have not yet been made, the stability of the top capabilities needed, and measurements derived from the DevSecOps pipeline, can all help the PMO better understand program uncertainties that impact estimates and help increase the confidence in estimates over time.  この論文から得られる主な教訓は、初期の見積もりは40%以上外れる可能性が高く、プログラムは追加情報が入手可能になるにつれて継続的に見積もりを更新する必要があるということである。どのような決定がまだなされていないか、必要とされる上位の能力の安定性、DevSecOpsパイプラインから得られる測定値などの項目を追跡することは、PMOが見積もりに影響を与えるプログラムの不確実性をよりよく理解し、時間の経過とともに見積もりの信頼性を高めるのに役立つ。

 

 

 

 

| | Comments (0)

中国 第1回|中国サイバーセキュリティ産業分析レポート(2023年)

こんにちは、丸山満彦です。

中国のサイバーセキュリティ産業アライアンスが、サイバーセキュリティ産業についての分析レポート第一回を公表していますね。。。

サイバーセキュリティ市場規模は約633億元(1.28兆円)。前年比増3.1%。成長は落ち着いてきているけど、今後は10%の成長が予想され、2025年には800億元(1.6兆円)の想定とのこと。。。(1元=約20円)

ちなみに、総務省が引用しているCanalys社の推計(総務省の情報通信白書令和5年版1. 世界のサイバーセキュリティ市場規模(売上高)の推移 | 白書掲載番号(4-10-1-1))では、2022年の

世界のサイバーセキュリティ市場の規模は、711億ドル(約105兆円)。

同じ調査会社が調べているわけではないので、推計の根拠が違うので比較しにくいですね。。。

 

中国网络安全产业联盟

・2023.09.18 首发 | 《中国网络安全产业分析报告(2023年)》(附完整版PPT)

 

首发 | 《中国网络安全产业分析报告(2023年)》(附完整版PPT) 第1回|中国サイバーセキュリティ産業分析レポート(2023年)(フルPPT付)
2023年9月16日,2023年国家网络安全宣传周“网络安全服务产业发展分论坛”在福州召开。论坛上,中国电子技术标准化研究院副院长刘贤刚介绍《中国网络安全产业分析报告(2023年)》。 2023年9月16日、2023年全国サイバーセキュリティ啓発週間「サイバーセキュリティサービス産業発展小フォーラム」が福州で開催された。 フォーラムでは、中国電子技術標準化研究院(CETSI)の劉祥剛副院長が「中国サイバーセキュリティ産業分析報告(2023年)」を紹介した。
中国网络安全产业联盟(CCIA)依托行业力量,连续六年联合国内知名网络安全研究机构数说安全,调研国内近300家网络安全企业,追踪产业热点,刻画产业图景、研判发展趋势,完成《中国网络安全产业分析报告(2023年)》(以下简称“《报告》”)。《报告》坚持发展思维,尊重产业发展客观规律,以科学、严谨、中立的视角,深入剖析我国网络安全产业面临的国内外形势,以数据为基础,以企业为核心,从政策、技术、服务、资本、市场等多个方面,对网络安全法律法规、政策标准、产业现状、竞争格局、资本市场和发展热点等进行了全面详实的分析。在此基础上,对我国网络安全产业未来数年的发展进行了展望,希望能够为网络安全政策制定部门、监管机构、从业人员、行业组织、研究机构等提供参考。 中国サイバーセキュリティ産業連盟(CCIA)は、6年連続で中国の有名なネットワークセキュリティ研究機関と協力し、国内のネットワークセキュリティ企業300社近くを調査し、産業のホットスポットを追跡し、産業景観を描き、開発動向を研究し、「中国サイバーセキュリティ産業分析報告書(2023年)」(以下、「報告書」という。) "). 本報告書は、開発思考を堅持し、産業発展の客観的法則を尊重し、科学的、厳密かつ中立的な視点から、中国のサイバーセキュリティ産業が直面する国内外の状況を分析し、データに基づき、企業を核心として、政策、技術、サービス、資本、市場など様々な観点から、サイバーセキュリティに関する法規制、政策、標準、産業の現状、競争環境、資本市場、発展のホットスポットについて、包括的かつ詳細に分析している。 包括的かつ詳細な分析を行っている。 その上で、今後数年間の中国のサイバーセキュリティ産業の発展を展望し、サイバーセキュリティ政策立案部門、規制当局、実務者、業界団体、研究機関などに参考となることを期待している。
核心发现 核心的所見
2022年,我国网络安全市场规模约为633亿元,同比增长3.1%,增长态势延续,增长率稳中趋缓。随着疫情平稳转段、网络安全相关政策法规和标准规范相继落地、网络安全治理日臻完善、网络安全技术加快迭代升级等正向激励效能显现,网络安全企业数量有所增长,网络安全市场需求持续扩大。预计未来三年产业增速将保持在10%以上,到2025年市场规模预计将超过800亿元。 2022年、中国のサイバーセキュリティ市場規模は約633億元、前年比3.1%増、成長トレンドの継続、成長率は安定し、減速している。 流行のスムーズな移行に伴い、ネットワークセキュリティ関連の政策、規制、標準や規範が次々と上陸し、ネットワークセキュリティガバナンスが改善され、ネットワークセキュリティ技術の反復的なアップグレードをスピードアップし、効果への他の肯定的なインセンティブは、ネットワークセキュリティ企業の数が増加しており、ネットワークセキュリティ市場の需要は拡大を続けている。 今後3年間の業界の成長率は10%以上を維持し、市場規模は2025年までに800億元を超えると予想される。
当前,全球经济进入下行通道,政府财力和企业利润空间进一步压缩,导致其对网络安全投入减少,网络安全市场需求萎靡,这削弱了网络安全企业盈利能力。国内主要网络安全企业迎难而上,以积极心态迎接市场挑战,不断加大研发和销售投入,新技术、新应用、新业务不断涌现。同时,数字经济发展进入快车道,开辟了更多网络安全产业“新赛道”,应用场景安全需求、新基建安全需求、新技术安全需求释放,为网络安全产业加速发展注入了新动力。 現在、世界経済は下降チャンネルに入り、政府の財政力と企業の利潤率がさらに圧縮され、ネットワークセキュリティへの投資が減少し、ネットワークセキュリティ市場の需要が衰え、ネットワークセキュリティ企業の収益性が弱まっている。 国内の主要なサイバーセキュリティ企業はこの難局に立ち向かい、前向きな姿勢で市場の課題に対応し、研究開発と販売への投資を継続的に増加させ、新技術、新アプリケーション、新ビジネスが続々と登場している。 同時に、デジタル経済の発展が高速車線に入り、ネットワーク・セキュリティ産業の「新路線」がさらに開拓され、アプリケーション・シナリオ・セキュリティ需要、新しいインフラ・セキュリティ需要、新技術セキュリティ需要が解放され、ネットワーク・セキュリティ産業の加速的発展の新たな原動力となっている。
国内对网络安全的重视程度、项目投入和客户分布呈现出一致性,经济发展状况与网络安全市场分布具有高度相关性。华北、华东和华南仍是网络安全投入高、客户分布相对集中的区域。2022年,网络安全企业在以上三个区域的合计收入占比达到71%。同时,网络安全企业积极响应共建“一带一路”倡议,加快探索海外市场。领军企业海外业务发展良好,创新型企业积极尝试突破,并取得一定成绩,海外市场占比小幅提升,预计未来海外市场将成为我国网络安全企业新的业务增长点。 国内のネットワークセキュリティ重視、プロジェクト投資、顧客分布は一貫しており、経済発展状況はネットワークセキュリティ市場の分布と高い相関関係がある。 華北、華東、華南は依然としてサイバーセキュリティへの投資が多く、顧客分布が比較的集中している地域である。2022年には、上記3地域のサイバーセキュリティ企業の売上高シェアを合計すると71%に達する。 同時に、ネットワークセキュリティ企業は「一帯一路」イニシアティブの建設に積極的に対応し、海外市場の開拓を加速している。 大手企業の海外事業展開が順調で、革新的な企業が積極的に突破を図り、一定の成果を収め、海外市場の割合がやや増加し、今後、海外市場が中国のサイバーセキュリティ企業の新たな事業成長ポイントになると予想される。
2022年以来,三未信安、亚信安全、浩瀚深度、永信至诚、盛邦安全相继登录科创板。2022年,网络安全行业投融并事件共有124起,融资额为67.8亿元,同比有所回落。投资机构对于成长期和中后期网络安全项目的投资更趋谨慎,早期项目获投数量增长较快。随着注册制改革加速及北交所开市,网络安全投资退出通道进一步丰富,将对网络安全投资产生正向激励。 2022年以降、三維新安、亜新安全、広大深度、永信之正、盛邦安全が相次いでKTBに登載された。2022年、サイバーセキュリティ業界の投融資イベントは124件、融資額は67.8億元で、前年比減少した。 投資機関は成長段階や中・後期段階のサイバーセキュリティ・プロジェクトへの投資に慎重になっており、投資される初期段階のプロジェクト数はより早く増加している。 登録制度改革の加速と北証券取引所の開放により、サイバーセキュリティ投資の出口チャネルはさらに充実し、サイバーセキュリティ投資にプラスのインセンティブが生まれる。
2023年,网络安全产业涌现10个发展热点,分别是生成式人工智能、人工智能对抗攻防技术、量子安全技术、云原生安全、网络安全保险服务、安全审计和合规性服务、网络安全防护有效性验证服务、云密码服务、数据安全治理,以及软件供应链安全治理。 2023年、サイバーセキュリティ産業では、生成的人工知能、人工知能による攻撃・防御技術、量子セキュリティ技術、クラウドネイティブセキュリティ、サイバーセキュリティ保険サービス、セキュリティ監査・コンプライアンスサービス、サイバーセキュリティ保護効果検証サービス、クラウド暗号サービス、データセキュリティガバナンス、ソフトウェアサプライチェーンセキュリティガバナンスという10の発展ホットスポットが出現した。
网络安全产业服务化发展趋势更加凸显。2023年上半年,服务型企业数量同比增长32.5%,成为网络安全市场扩容的主要力量。行业领军企业正在向“产品 服务”综合解决方案提供商转变,用户企业愈发看重网络安全服务的有效性、持续性和体系化,网络安全运营、安全审计和合规性服务、云密码服务等网络安全服务的重要性更加凸显。 2023年上半期には、サービス型企業の数が前年同期比で32.5%増加し、サイバーセキュリティ市場の拡大に大きな力となった。 業界大手は「製品とサービス」の総合ソリューションプロバイダーへと変貌を遂げ、ユーザー企業はネットワークセキュリティサービスの有効性、継続性、体系性をますます重視するようになり、ネットワークセキュリティ運用、セキュリティ監査・コンプライアンスサービス、クラウド暗号サービスなどのネットワークセキュリティサービスの重要性がより顕著になっている。

 

ファイルのダウンロードの仕方がわかりません。。。

20230922-101702

 

| | Comments (0)

ロシア 中国 モンゴル による安全保障協議 at モスクワ

こんにちは、丸山満彦です。

ニューヨークでは第78回国連総会国際連合広報センター:第78回総会のページ)が行われ、19日から一般討論が行われていますが、、、

モスクワでは、ロシア、中国、モンゴルの3カ国がモスクワで安全保障協議をしたようですね。。。

ロシアは、ニコライ・パトルシェフ・ロシアさん(安全保障会議書記)

中国は、王毅さん。(共産党中央委員会政治局委員、外交委員会弁公室主任、中華人民共和国外交部長)

モンゴルは、チャダムビン・エンクバヤルさん(国家安全保障会議書記)

が出席したようですね。。。

  • 地域の安全保障問題について詳細な意見交換
  • 広範な共同関心事項に関する三国間協力の展望についての議論
  • 国際舞台や多国間形式におけるロシア、モンゴル、中国の協力に関する検討

が行われたようです。。。

 

ロシア...

Совет Безопасности Российской Федерации

・2023.09.19 В Москве состоялись трёхсторонние консультации по безопасности в формате: Россия, Китай, Монголия

 

中国...

● 外交部

・2023.09.20 中俄蒙举行安全事务高级代表会晤

・2023.09.19 中俄举行第十八轮战略安全磋商

モンゴルと...

・2023.09.20 王毅会见蒙古国家安全委员会秘书长恩赫巴亚尔

ロシアと...

・2023.09.19 王毅会见俄罗斯外长拉夫罗夫

 

 

1_20230922070001

 


 

<2023.09.26 追記>

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.26 第78回 国連総会 トップ等の発言...

 

 

| | Comments (0)

NIST SP 800-188 政府データセットの非識別化 (2023.09.14)

こんにちは、丸山満彦です。

NISTが、SP 800-188(政府データセットの非識別化を公表していますね。ドラフト第2版から、6年の時を経て、昨年の11月に第三ドラフトが公開され、今回確定しましたね。。。

差分プライバシーは今後ということで、非識別の話が中心です。。。

 

NIST - ITL

・2023.09.14 De-Identifying Government Datasets: Techniques and Governance | NIST Publishes SP 800-188

De-Identifying Government Datasets: Techniques and Governance | NIST Publishes SP 800-188 政府データセットの非識別化: 技術とガバナンス|NIST、SP 800-188を発表
NIST has published Special Publication (SP) 800-188, De-Identifying Government Datasets: Techniques and Governance. NISTは特別刊行物(SP)800-188「政府データセットの非識別化: 技術とガバナンス」を発行した。
De-identification removes identifying information from a data set so that the remaining data cannot be linked to specific individuals. Government agencies can use de-identification to reduce the privacy risks associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NIST published NIST Internal Report (IR) 8053, De-Identification of Personal Information, which provided a survey of de-identification and re-identification techniques. SP 800-188 provides specific guidance to government agencies that wish to use de-identification. 非識別化は、データセットから識別情報を削除し、残りのデータが特定の個人にリンクできないようにするものである。政府機関は、政府データの収集、処理、保管、配布、公表に関連するプライバシ ー・リスクを軽減するために、非識別化を使用することができる。以前、NIST は NIST 内部報告書(IR)8053「個人情報の非識別化(De-Identification of Personal Information)」を発行し、非識別化および再識別化技術のサーベイを提供した。SP 800-188は、非識別化の利用を希望する政府機関に具体的なガイダンスを提供する。
This final document was authored by experts at NIST and the U.S. Census Bureau and references up-to-date research and practices for both traditional de-identification approaches as well as the use of formal privacy methods, such as differential privacy to create de-identified datasets. This document also addresses other approaches for making datasets that contain sensitive information available to researchers and for public transparency. Where appropriate, this document cautions users about the inherent limitations of traditional de-identification approaches when compared to formal privacy methods, such as differential privacy. この最終文書は、NISTと米国国勢調査局の専門家によって作成され、従来の非識別化アプローチと、非識別化データセットを作成するための差分プライバシーなどの正式なプライバシー手法の両方について、最新の研究と実践を参照している。この文書では、機密情報を含むデータセットを研究者に提供し、一般に公開するための他のアプローチも取り上げている。適切な場合、本文書は、差分プライバシーなどの正式なプライバシ ー手法と比較した場合の、従来の非識別化アプローチ固有の限界について利用者に注意を促す。

 

 

・2023.09.14 NIST SP 800-188 De-Identifying Government Datasets: Techniques and Governance

NIST SP 800-188 De-Identifying Government Datasets: Techniques and Governance NIST SP 800-188 De-Identifying Government Datasets: 技術とガバナンス
Abstract 概要
De-identification is a general term for any process of removing the association between a set of identifying data and the data subject. This document describes the use of deidentification with the goal of preventing or limiting disclosure risks to individuals and establishments while still allowing for the production of meaningful statistical analysis. Government agencies can use de-identification to reduce the privacy risk associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NIST IR 8053, "De-Identification of Personal Information," provided a detailed survey of deidentification and re-identification techniques. This document provides specific guidance to government agencies that wish to use de-identification. Before using de-identification, agencies should evaluate their goals for using de-identification and the potential risks that releasing de-identified data might create. Agencies should decide upon a data-sharing model, such as publishing de-identified data, publishing synthetic data based on identified data, providing a query interface that incorporates de-identification, or sharing data in non-public protected enclaves. Agencies can create a Disclosure Review Board to oversee the process of de-identification. They can also adopt a de-identification standard with measurable performance levels and perform re-identification studies to gauge the risk associated with de-identification. Several specific techniques for de-identification are available, including de-identification by removing identifiers, transforming quasi-identifiers, and generating synthetic data using models. People who perform de-identification generally use special-purpose software tools to perform the data manipulation and calculate the likely risk of re-identification. However, not all tools that merely mask personal information provide sufficient functionality for performing de-identification. This document also includes an extensive list of references, a glossary, and a list of specific de-identification tools, which is only included to convey the range of tools currently available and is not intended to imply a recommendation or endorsement by NIST. 非識別化(De-identification)とは、一連の識別データとデータ主体との関連性を除去するあらゆる プロセスの総称である。本文書は、個人および事業所に対する開示リスクを防止または制限する一方で、意味のある統計 分析を可能にすることを目的とした非識別化の使用について説明する。ガバナンスは、政府データの収集、処理、保管、配布、または公表に関連するプライバシー・リスクを低減するために非識別化を使用することができる。以前、NIST IR 8053「個人情報の非識別化(De-Identification of Personal Information)」は、非識別化および再識別化技術の詳細なサーベイを提供した。本文書は、非識別化の使用を希望する政府機関に具体的なガイダンスを提供する。非識別化を使用する前に、政府機関は非識別化を使用する目的と、非識別化されたデータを公開することで生じる可能性のあるリスクを評価する必要がある。機関は、非識別化データの公開、識別されたデータに基づく合成データの公開、非識別化を組み込んだクエリ・インターフェースの提供、非公開の保護されたエンクレーブでのデータ共有など、データ共有モデルを決定する必要がある。各機関は、非識別化のプロセスを監督するために、情報開示審査委員会(Disclosure Review Board)を設置することができる。また、測定可能なパフォーマンス・レベルを持つ非識別化標準を採用し、非識別化に関連するリスクを測定するために再識別化調査を実施することもできる。識別子の除去による非識別化、準識別子の変換、モデルを使用した合成データの生成など、非識別化のためのいくつかの具体的な技術が利用可能である。非識別化を実行する人々は、一般に、データ操作を実行し、再識別化の可能性の高いリスクを計算するために、特別な目的のソフトウェア・ツールを使用する。しかし、個人情報をマスキングするだけのツールのすべてが、非識別化の実行に十分な機能を提供するわけではない。本文書には、広範な参考文献のリスト、用語集、および特定の非識別化ツールのリストも含まれているが、これは現在利用可能なツールの範囲を伝えるために含まれているに過ぎず、NISTによる推奨または推奨を意味するものではない。

 

・[PDF] NIST.SP.800-188

20230922-60430

 

エグゼクティブサマリー...

Executive Summary  要旨 
Every federal agency creates and maintains internal datasets that are vital for fulflling its mission. The Foundation for Evidence-based Policymaking Act of 2018 [2] and its Phase 1 implementation memorandum M-19-23 [168] mandate that agencies also collect and publish their government data in open, machine-readable formats when it is appropriate to do so. Agencies can use de-identifcation to make government datasets available while protecting the privacy of the individuals whose data are contained within those datasets.  すべての連邦政府機関は、その使命を果たすために不可欠な内部データセットを作成し、維持している。2018年のFoundation for Evidence-based Policymaking Act [2]とそのフェーズ1実施覚書M-19-23 [168]は、政府データも収集し、そうすることが適切な場合には、オープンで機械可読なフォーマットで公開することを義務付けている。政府は、データセットに含まれる個人のプライバシーを保護しつつ、政府データセットを利用可能にするために、個人識別の解除を利用することができる。
The U.S. Government defnes personally identifable information (PII) as “information that can be used to distinguish or trace an individual’s identity, either alone or when combined with other information that is linked or linkable to a specifc individual.”[4]  米国政府は、個人を特定できる情報(PII)を「単独で、または特定の個人に結びついたり結びつけたりできる他の情報と組み合わされた場合に、個人の身元を識別したり追跡したりするために使用できる情報」と定義している[4]。
For decades, de-identifcation based on simply removing identifying information was thought to be suffcient to prevent the re-identifcation of individuals in large datasets. Since the mid 1990s, a growing body of research has demonstrated the reverse, resulting in new pri- vacy attacks that are capable of re-identifying individuals in “de-identifed” data releases. For several years, the goals of such attacks appeared to be embarrassing the publishing agency and achieving academic distinction for the privacy researcher [65]. More recently, as high-resolution de-identifed geolocation data have become commercially available, re- identifcation techniques have been used by journalists, activists, and malicious actors [130, 170, 90] to learn information about individuals that was intended to be kept confdential. These attacks highlight the defciencies in traditional approaches to de-identifcation.  何十年もの間、単に識別情報を除去することに基づく非識別化は、大規模なデータセッ トにおける個人の再識別化を防止するのに十分であると考えられていた。1990年代半ば以降、その逆を実証する研究が増え、その結果、「非識別化」されたデータ公開の個人を再識別することができる新たなプライバシ攻撃が生まれた。数年間、このような攻撃の目的は、出版機関を困惑させ、プライバシー研究者の学術的な名誉を獲得することであったようだ[65]。より最近では、高解像度の非識別化されたジオロケーションデータが商業的に利用できるようになったため、再識別化技術がジャーナリスト、活動家、悪意のある行為者[130, 170, 90]によって利用され、秘密にしておくつもりだった個人に関する情報を知るようになっている。このような攻撃は、従来の非識別化アプローチの欠陥を浮き彫りにしている。
Formal models of privacy, like k-anonymity [151] and differential privacy [52], use mathe- matically rigorous approaches that are designed to allow for the controlled use of confden- tial data while minimizing the privacy loss suffered by the data subjects.1 Because there is an inherent trade-off between the accuracy of published data and the amount of privacy protection afforded to data subjects, most formal methods have some kind of parameter that can be adjusted to control the “privacy cost” of a particular data release. Informally, a data release with a low privacy cost causes little additional privacy risk to the participants, while a higher privacy cost results in more privacy risk. When they are available and have suffcient functionality for the task at hand, formal privacy methods should be preferred over informal ad hoc methods.  k-匿名性[151]や差分プライバシー[52]のようなプライバシーの形式的モデルは、データ主体が被るプライバシー損失を最小限に抑えながら、秘匿データの制御された使用を可能にするように設計された、数学的に厳密なアプローチを使用している。非公式には、プライバシーコストが低いデータ公開は参加者にプライバシーリスクをほとんど与えないが、プライバシーコストが高い場合はプライバシーリスクが高くなる。それらが利用可能で、手元のタスクに十分な機能を持つ場合、正式なプライバシー手法は、非公式なアドホック手法よりも優先されるべきである。
Decisions and practices regarding the de-identifcation and release of government data can be integral to the mission and proper functioning of a government agency. As such, an agency’s leadership should manage these activities in a way that ensures performance and  政府データの非識別化と公開に関する決定と機能は、政府機関の使命と適切な機能にとって 不可欠な場合がある。そのため、政府機関の指導者は、政府機関のパフォーマンスと結果を保証する方法で、これらの活動を管理する必要がある。
results in a manner that is consistent with the agency’s mission and legal authority. One way that agencies can manage this risk is by creating a formal Disclosure Review Board (DRB) that consists of legal and technical privacy experts, stakeholders within the organization, and representatives of the organization’s leadership. The DRB evaluates applications for data release that describe the confdential data, the techniques that will be used to minimize the risk of disclosure, the resulting protected data, and how the effectiveness of those tech- niques will be evaluated. The DRB’s work complements other parts of the organization, such as the Chief Information Security Offcer (CISO), who is responsible for technical controls, as well as the parts of the organization responsible for adopting administrative or organizational controls and written data-sharing agreements.  このようなリスクを管理するための一つの方法として、政府機関はこのようなリスク を管理することができる。政府機関がこのリスクをマネジメントする一つの方法は、法的および技術的なプライバシーの専門家、組織内の利害関係者、および組織のリーダーシップの代表者で構成される正式な情報開示審査委員会(Disclosure Review Board:DRB)を設置することである。DRBは、機密データ、開示リスクを最小化するために使用される技術、結果として得られる保護データ、およびそれらの技術の有効性がどのように評価されるかを記述したデータ公開申請書を評価する。DRBの活動は、技術的管理を担当する最高情報セキュリティ責任者(CISO)や、管理的または組織的管理や書面によるデータ共有契約の採用を担当する組織の他の部分を補完するものである。
Establishing a DRB may seem like an expensive and complicated administrative under- taking for some agencies. However, a properly constituted DRB and the development of consistent procedures regarding data release should enable agencies to lower the risks as- sociated with each data release, which is likely to save agency resources in the long term. Agencies can create or adopt standards to guide those performing de-identifcation and re- garding the accuracy of de-identifed data. If accuracy goals exist, then techniques such as differential privacy can be used to make the data suffciently accurate for the intended purpose but not unnecessarily more accurate, which can limit the amount of privacy loss. However, agencies must carefully choose and implement accuracy requirements. If data accuracy and privacy goals cannot be well-maintained, then releases of data that are not suffciently accurate can result in incorrect scientifc conclusions and policy decisions.  DRBを設立するのは、高価で複雑な管理作業に思える機関もあるかもしれない。しかし、適切に構成されたDRBとデータ公開に関する一貫した手順の開発により、各機関は各データ公開に伴うリスクを下げることができ、長期的には機関のリソースを節約できる可能性が高い。各機関は、非識別化の実施者および非識別化されたデータの正確性を再保持するための指針 となる標準を作成または採用することができる。精度の目標が存在する場合、差分プライバシーのような技法を使用することで、意図した目的には十分な精度を持つが、不必要に精度を上げないデータにすることができ、プライバシーの損失量を抑えることができる。しかし、機関は精度の要件を慎重に選択し、実施しなければならない。データの正確性とプライバシーの目標が十分に維持できない場合、十分に正確でないデータを公表することで、誤った科学的結論や政策決定がなされる可能性がある。
Agencies should consider performing de-identifcation with trained individuals using soft- ware specifcally designed for that purpose. While it is possible to perform de-identifcation with off-the-shelf software like a commercial spreadsheet or fnancial planning program, such programs typically lack the key functions required for sophisticated de-identifcation. As a result, they may encourage the use of simplistic de-identifcation methods, such as deleting columns that contain sensitive data categories and manually searching and removing individual data cells that appear sensitive.2 This may result in a dataset that appears de-identifed but still contains signifcant disclosure risks.  機関は、その目的のために特別に設計されたソフトウエアを使用し、訓練を受けた個人によって個人識別の解除を行うことを検討すべきである。市販の表計算ソフトや財務計画プログラムのような既製のソフトウェアで個人識別の 解除を実行することは可能であるが、そのようなプログラムには通常、高度な個人識別の 解除に必要な主要機能が欠けている。その結果、機密性の高いデータ・カテゴリーを含む列を削除したり、機密性が高いと思われる個々のデータ・セルを手作業で検索して削除したりするような、単純化された非識別化手法の使用が助長される可能性がある2 。
Finally, different countries have different standards and policies regarding the defnition and use of de-identifed data. Information that is regarded as de-identifed in one jurisdiction may be regarded as being identifable in another. This may be especially relevant in the case of international scientifc collaborations and illustrates the need for agencies that perform de-identifcation to create mechanisms for data scientists, attorneys, and policymakers to coordinate on these topics.  最後に、国によって非識別化データの定義と使用に関する標準や方針が異なる。ある法域では非識別化とみなされる情報が、別の法域では識別可能とみなされる場合がある。このことは、国際的な科学共同研究の場合に特に関連する可能性があり、データ科学者、弁護士、政策立案者がこのようなトピックについて協調するための仕組みを、非識別化を実施する機関が構築する必要性を示している。
1. While k-anonymity and differential privacy are both mathematically rigorous formal models, k-anonymity is a privacy framework based on the content of the published data, while differential privacy places bounds on the amount of information that can be learned about the confdential data from the published data.  1. k-匿名性と差分プライバシーはどちらも数学的に厳密な形式モデルであるが、k-匿名性は公開データの内容に基づくプライバシーの枠組みであり、差分プライバシーは公開データから機密データについて知ることができる情報量に境界を設けるものである。
2. For information on characterizing the sensitivity of information, see NIST SP 800-60 Volume I, Revision 1 [147].  2. 情報の機密性の特徴については、NIST SP 800-60 Volume I, Revision 1 [147]を参照のこと。

 

[2] 115th Congress (2017–2018). Public Law 115-435: The Foundations for Evidence- Based Policymaking Act of 2018. 2018. URL: https://www.congress.gov/bill/115th- congress/house-bill/4174. 第115議会(2017-2018年)。公法115-435: The Foundations for Evidence- Based Policymaking Act of 2018. 2018. URL: https://www.congress.gov/bill/115th- congress/house-bill/4174.
[4] 81 FR 49689: Revision of OMB Circular No. A-130, “Managing Information as a Strategic Resource. July 28, 2016. URL: https://www.cio.gov/policies-and- priorities/circular-a-130/. 81 FR 49689: OMB Circular No.A-130「戦略的資源としての情報の管理」の改訂。2016年7月28日。URL: https://www.cio.gov/policies-and- priorities/circular-a-130/.
[52] Cynthia Dwork et al. “Calibrating Noise to Sensitivity in Private Data Analysis”. In: Theory of Cryptography. Ed. by Shai Halevi and Tal Rabin. Berlin, Heidelberg: Springer Berlin Heidelberg, 2006, pp. 265–284. ISBN: 978-3-540-32732-5.  Cynthia Dwork et al. "Calibrating Noise to Sensitivity in Private Data Analysis". In: Theory of Cryptography. Shai Halevi and Tal Rabin. ベルリン、ハイデルベルク: Springer Berlin Heidelberg, 2006, pp.265-284. ISBN: 978-3-540-32732-5. 
[65] Simson Garfnkel. De-Identifcation of Personally Identifable Information. Tech. rep. NIST IR 8053. National Institute of Science and Technology, Nov. 2015. URL: http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf. Simson Garfnkel. 個人を特定できる情報の非識別化。技術報告書。NIST IR 8053. 国立科学技術研究所、2015年11月。URL: http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf.
[90] Leah Krehling. De-Identifcation Guideline. Tech. rep. WL-2020-01. Department of Electrical and Computer Engineering, Western University, 2020, p. 45. Leah Krehling. 非識別化ガイドライン。Tech. rep. WL-2020-01. Western University, Electrical and Computer Engineering, 2020, p. 45.
[130] “Pillar Investigates: USCCB gen sec Burrill resigns after sexual misconduct alle- gations”. In: The Pillar (July 2021). URL: https://www.pillarcatholic.com/p/pillar- investigates-usccb-gen-sec. 「Pillar Investigates: "Pillar Investigates: USCCB gen sec Burrill resigns after sexual misconduct alle- gates". In: The Pillar (July 2021). URL: https://www.pillarcatholic.com/p/pillar- investigates-usccb-gen-sec.
[147] Kevin Stine et al. Volume I: guide for mapping types of information and infor- mation systems to security categories. Gaithersburg, MD, 2008. DOI: 10.6028/ NIST.SP.800-60v1r1. URL: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/ nistspecialpublication800-60v1r1.pdf. Kevin Stine et al. Volume I: Guide for mapping types of information and infor- mation systems to security categories. Gaithersburg, MD, 2008. DOI: 10.6028/ NIST.SP.800-60v1r1. URL: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/ nistspecialpublication800-60v1r1.pdf.
[151] Latanya Sweeney. “k-anonymity: a model for protecting privacy”. In: International Journal on Uncertainty, Fuzziness and Knowledge-based Systems 10 (5 2002), pp. 557–570. Latanya Sweeney. 「k-anonymity: a model for protecting privacy". In: International Journal on Uncertainty, Fuzziness and Knowledge-based Systems 10 (5 2002), pp.
[168] Russell T. Vought. Phase 1 Implementation of the Foundations for Evidence-Based Policymaking Act of 2018: Learning Agendas, Personnel, and Planning Guidance. URL: https://www.whitehouse.gov/wp-content/uploads/2019/07/M-19-23.pdf. ラッセル・T・ヴォート Evidence-Based Policymaking Act of 2018の第1段階実施: Learning Agendas, Personnel, and Planning Guidance. URL: https://www.whitehouse.gov/wp-content/uploads/2019/07/M-19-23.pdf.
[170] Charlie Warzel and Stuart A. Thompson. “How Your Phone Betrays Democracy”. In: The New York Times (Dec. 2019). URL: https://www.nytimes.com/interactive/ 2019/12/21/opinion/location-data-democracy-protests.html. Charlie Warzel and Stuart A. Thompson. 「How Your Phone Betrays Democracy". In: The New York Times (Dec. 2019). URL: https://www.nytimes.com/interactive/ 2019/12/21/opinion/location-data-democracy-protests.html.

 

目次...

ExecutiveSummary 要旨
1. Introduction 1. 序文
1.1. DocumentPurposeandScope 1.1. 文書の目的と範囲
1.2. IntendedAudience 1.2. 想定読者
1.3. Organization 1.3. 組織
2. Introducing De-Identifcation 2. 非識別化について
2.1. Historical Context 2.1. 歴史的背景
2.2. Terminology 2.2. 用語
3. Governance and Management of Data De-Identifcation 3. データ非識別についてのガバナンスと管理
3.1. Identifying the Goals and Intended Uses of De-Identifcation 3.1. 非識別化の目的と用途を特定する。
3.2. Evaluating the Risks and Benefts That Arise from De-Identifed Data Releases 3.2. 非識別化データの公開から生じるリスクと便益の評価
3.2.1. ProbabilityofRe-Identifcation 3.2.1. 再識別の確率
3.2.2. Adverse Impacts of Re-Identifcation 3.2.2. 再識別による悪影響
3.2.3. Impacts Other Than Re-Identifcation 3.2.3. 再識別以外の影響
3.2.4. Remediation 3.2.4. 修復
3.3. Data LifeCycle. 3.3. データライフサイクル
3.4. Data-Sharing Models 3.4. データ共有モデル
3.5. The Five Safes 3.5. 5つの安全
3.6. Disclosure Review Boards 3.6. 情報開示審査委員会
3.7. De-Identifcation and Standards 3.7. 非識別化と標準
3.7.1. Benefts of Standards 3.7.1. 標準の恩恵
3.7.2. Prescriptive De-Identifcation Standards 3.7.2. 規定的な非識別化標準
3.7.3. Risk-Based De-Identifcation Standards 3.7.3. リスクベースの非識別化標準
3.8. Education, Training, and Research 3.8. 教育、訓練、研究
3.9. Alternative Approaches for Computing Statistics on Confdential Information 3.9. 機密情報の統計計算の代替アプローチ
3.9.1. Encryption and Access Control 3.9.1. 暗号化とアクセス制御
3.9.2. Secure Computation 3.9.2. 安全な計算
3.9.3. Trusted Execution Environments 3.9.3. 信頼された実行環境
3.9.4. Physical Enclaves 3.9.4. 物理的飛び地
4. Technical Steps for Data De-Identifcation 4. データ識別の技術的ステップ
4.1. Determine the Privacy, Data Usability, and Access Objectives 4.1. プライバシー、データの有用性、およびアクセスの目的を決定する。
4.2. Conducting a Data Survey 4.2. データ調査の実施
4.3. De-Identifcation by Removing Identifers and Transforming Quasi-Identifers 4.3. 識別子の削除と準識別子の変換による非識別化
4.3.1. Removing or Transforming of Direct Identifers 4.3.1. 直接識別子の除去または変換
4.3.2. Special Security Note Regarding the Encryption or Hashing of Direct Identifers 4.3.2. 直接識別子の暗号化またはハッシュ化に関する特別なセキュリティ上の注意事項
4.3.3. De-Identifying Numeric Quasi-Identifers 4.3.3. 数値的な準識別子の非識別化
4.3.4. De-Identifying Dates 4.3.4. 日付の非識別化
4.3.5. De-Identifying Geographical Locations and Geolocation Data 4.3.5. 地理的位置と地理的位置データの非識別化
4.3.6. De-Identifying Genomic Information 4.3.6. ゲノム情報の非識別化
4.3.7. De-Identifying Text Narratives and Qualitative Information 4.3.7. テキストナレーションと質的情報の非識別化
4.3.8. Challenges Posed by Aggregation Techniques. 4.3.8. 集約技術がもたらす課題。
4.3.8.1. Example 4.3.8.1. 例
4.3.9. Challenges Posed by High-Dimensiona lData 4.3.9. 高次元データによる課題
4.3.10.Challenges Posed by LinkedData 4.3.10.リンクデータによる課題
4.3.11.Challenges Posed by Composition 4.3.11.合成による課題
4.3.12.Potential Failures of De-Identifcation 4.3.12.識別の失敗の可能性
4.3.13.Post-Release Monitoring 4.3.13.公開後のモニタリング
4.4. Synthetic Data 4.4. 合成データ
4.4.1. Partially Synthetic Data 4.4.1. 部分合成データ
4.4.2. Test Data 4.4.2. テストデータ
4.4.3. Realistic Test Data 4.4.3. 現実的なテストデータ
4.4.4. Fully Synthetic Data 4.4.4. 完全合成データ
4.4.5. Synthetic Data with Validation 4.4.5. 検証付き合成データ
4.4.6. Synthetic Data and Open Data Policy 4.4.6. 合成データとオープンデータポリシー
4.4.7. Creating a Synthetic Dataset with Diferential Privacy 4.4.7. 差分プライバシーを持つ合成データセットの作成
4.5. De-Identifying with an Interactive Query Interface 4.5. 対話型クエリー・インターフェースによる非識別化
4.6. Validatinga De-Identifed Dataset 4.6. 非識別化データセットの検証
4.6.1. Validating Data Usefulness 4.6.1. データの有用性を検証する
4.6.2. Validating Privacy Protection 4.6.2. プライバシー保護の検証
4.6.3. Re-Identifcation Studies 4.6.3. 再識別の調査
5.  Software Requirements, Evaluation, and Validation 5. ソフトウェア要件、評価、検証
5.1. EvaluatethePrivacy-PreservingTechniques 5.1. プライバシー保護技術の評価
5.2. De-IdentifcationTools 5.2. 非識別化ツール
5.2.1. De-IdentifcationToolFeatures. 5.2.1. 非識別化ツールの特徴。
5.2.2. Data Provenance and File Formats 5.2.2. データ証明とファイルフォーマット。
5.2.3. Data Masking Tools 5.2.3. データ・マスキング・ツール
5.3. Evaluating De-Identifcation Software 5.3. 非識別化ソフトウェアの評価
5.4. Evaluating Data Accuracy 5.4. データ精度の評価
6. Conclusion 6.結論
References 参考文献
A.Standards A.標準
A.1.NIST Publications A.1.NISTP出版物
A.2.Other U.S. Government Publications A.2.その他の米国政府刊行物
Selected Publications by Other Governments その他の政府刊行物。
Reports and Books 報告書および書籍
How-To Articles ハウツー記事
B. List of Symbols, Abbreviations, and Acronyms B.記号、略語、頭字語のリスト
C. Glossary C.用語集

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.20 NIST SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)(2022.11.15)

| | Comments (0)

2023.09.21

中国 ネット侵害情報通報の更なる強化に関する指導意見 (2023.09.15)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局がネット侵害情報通報の更なる強化に関する指導意見というのを公表していますね。。。8月31日に決定したもののようです。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2023.09.15 关于进一步加强网络侵权信息举报工作的指导意见

关于进一步加强网络侵权信息举报工作的指导意见 ネット侵害情報通報の更なる強化に関する指導意見
各省、自治区、直辖市党委网信办,新疆生产建设兵团党委网信办: 各省、自治区、直轄市のネットワーク・セキュリティ管理局、新疆生産建設兵団党ネットワーク・セキュリティ管理局:
网络侵权信息举报工作是网信部门践行网上群众路线的重要举措,是保护网民网络合法权益的重要手段,对促进形成积极健康、向上向善的网络文化具有重要意义。为加强网络侵权信息举报工作,推动建立良好网络生态,切实维护好广大网民网络合法权益,现提出如下意见。 ネットワーク侵害情報報告作業は、インターネット部門の重要な措置は、オンライン大衆の行を実践することであり、ネット利用者ネットワークの正当な権利と利益を保護することである肯定的かつ健全な、上向きに移動するネットワーク文化の形成を促進する重要な手段である重要な意義がある。 ネットワーク侵害情報報告業務を強化し、良好なネットワーク生態系の確立を促進し、効果的に大多数のネットユーザーのネットワークの合法的な権利と利益を保護するために、現在、以下の見解を発表した。
一、总体要求 I. 全体的な要求
(一)指导思想 (1)指導思想
以习近平新时代中国特色社会主义思想为指导,深入贯彻落实党的二十大和二十届一中、二中全会精神,坚持以人民为中心的发展思想,坚持围绕中心、服务大局,以提升广大网民在网络空间的获得感、幸福感、安全感为目标,以维护好广大网民网络合法权益为出发点和落脚点,以压紧压实网站平台主体责任为着力点,夯实工作基础、创新完善举措、健全制度规范、完善体制机制,突出做好涉公民个人、企业法人网络侵权信息举报工作,持续营造清朗网络空间,助力经济社会健康有序发展。 新時代の中国の特色ある社会主義という習近平の思想に導かれ、第20回中国共産党全国代表大会と第20期中国共産党中央委員会第1、2回全体会議の精神を深く実行し、人民を中心とする発展理念を堅持し、中心を重視し、全体情勢に奉仕することを堅持し、一般ネット民のサイバースペースへのアクセス感、幸福感、安心感を高めることを目的とし、インターネット上の大多数のネット民の合法的な権益を守ることを原点とし、コンパサイトの主な責任を引き締めることを目的とする。 焦点のプラットフォームの主な責任は、仕事の基礎を踏み固め、技術革新とイニシアチブを改善し、制度や規範を改善し、制度的メカニズムを改善し、個人、企業ネットワークの侵害情報報告に関与する市民を強調し、経済社会の健全かつ秩序ある発展を支援するために、明確なサイバースペースを作成し続ける。
(二)主要原则 (2)主要原則
坚持系统观念。加强整体设计、注重统筹协调,推动线上线下受理处置全覆盖,主体责任和监督责任同步落实,横向协同和纵向联动一体构建,全方位、全链条推进工作。 システム視点の堅持。 全体的な設計を強化し、協調を重視し、オンラインとオフラインの受け入れと廃棄を完全にカバーすることを促進し、主な責任と監督責任の実施を同期させ、水平的な相乗効果と垂直的な連携を構築し、全方向と全チェーンに沿った作業を促進する。
坚持问题导向。针对网民网络维权难点堵点问题,立足职能、靶向施策、精准发力,创新工作思路、改进方法手段,着力提升网民举报投诉的有效性和处置率。 問題指向アプローチの堅持。 ネット利用者ネットワークの権利問題については、機能、ターゲット、精度、革新的なアイデアに基づいて、方法と手段を改善し、ネット利用者が苦情を報告する有効性と処理率を高めるために努力する。
坚持依法依规。科学设置受理处置标准,严格受理处置流程,加强内部管理,注重风险防范,确保举报受理处置法律适用准确、程序完备合规,不断提高工作制度化、规范化水平。 法律遵守。 科学的な受理と廃棄の標準を設定し、厳格な受理と廃棄のプロセス、内部管理を強化し、リスク予防に焦点を当て、報告書の受理と廃棄の正確な適用を確保するために、手順は完全かつコンプライアンスであり、常に制度化、標準化レベルの作業を改善する。
坚持注重实效。增强针对性、突出实效性,聚焦重点领域、紧盯关键环节,综合施策、标本兼治,做深做细各项工作,确保各项重点任务落地落实。 結果の重視。 関連性を強化し、有効性を強調し、重要な分野に焦点を当て、重要なリンク、包括的なアプローチ、根本的な原因と症状に焦点を当て、重要なタスクが実装されていることを確認するために深く、詳細な作業を行う。
二、夯实工作基础 II. 業務基盤の強化
(三)优化举报服务。建立多元化举报平台,实现线上线下全覆盖,满足广大网民多层次多样化举报需求。强化举报平台服务功能,提供集“举报投诉”“举报指南”“典型案例”“法律法规”等多功能于一体的举报服务产品。加强举报渠道建设,依法依规制定举报指引,明确举报要件,方便网民有效准确举报。建立投诉维权矩阵,为网民引入法律咨询、司法救济、公益诉讼、网络调解等渠道,拓展社会力量积极参与网民权益维护保障工作。 (3)報告サービスの最適化。 多様な通報プラットフォームを構築し、オンラインとオフラインをカバーすることで、ネット利用者の多段階多様な通報ニーズを満たす。 報告プラットフォームのサービス機能を強化し、「苦情報告」、「報告ガイドライン」、「典型的な事例」、「法規」などの報告サービスを一つの製品で提供する。 「などの多機能通報サービスを一つの製品にする。 ネット利用者の効果的かつ正確な通報を促進するため、法令に基づき、通報ガイドライン、明確な通報要件を策定し、通報ルートの構築を強化する。 ネット利用者のための苦情・権利保護マトリックスを構築し、法律相談、司法救済、公益訴訟、ネットワーク調停などのチャンネルを導入し、ネット利用者の権益を保護する社会勢力の積極的な参加を拡大する。
(四)健全处置机制。建立全链条闭环举报处置机制,积极受理处理本部门职责范围内的举报,视情会商研判、移送转交职责范围外的举报;加强跟踪督办,确保“事事有着落、件件有回音”。丰富举报处置手段,建立分级分类处置措施。加大惩戒力度,严惩恶意侵权、重复侵权、群体侵权。强化震慑遏制效果,严厉处置并及时公布群众反映强烈、社会舆论关注度高的典型案件。 (4)処理メカニズムの改善。 クローズド・ループの通報処理メカニズムを構築し、積極的に部門の責任範囲内の通報を受理・処理し、協議・判断の状況に応じて、責任範囲外の通報を移送・転送する。追跡・監督を強化し、「全てに目が通され、全ての意見に返答がある」ことを確保する。 報告書の処理手段を充実させ、段階的な処理手段を確立する。 罰則を強化し、悪質な違反、度重なる違反、集団的な違反に対して厳罰を科す。 抑止効果を強化し、厳正な処分と適時の公表で国民の強い反発を招き、世論は典型的なケースに関心を寄せる。
(五)完善制度规范。健全受理处置规范,明确受理对象、受理范围、受理方式、处置举措。完善流程规范,细化集体研议、层级把关、审处分离等工作程序。建立举报人信息保护制度,严禁泄露、篡改、毁损、出售或者非法向他人提供举报人个人信息及举报材料。完善信息登记、工作台账、档案管理等制度,改进工作作风,提升服务质量。 (5)規範制度の改善。 規範の受理と廃棄を改善し、受理の対象、受理の範囲、受理、廃棄の取り組みを明確にする。 プロセスの仕様を改善し、集団審議、階層的なチェック、分離の試行と処分などの作業手順を洗練させる。 内部通報者情報保護制度を確立し、内部通報者の個人情報及び通報資料を漏洩、改ざん、破壊、販売、不法に他人に提供することを厳禁する。 情報登録、業務アカウント、ファイル管理システムを改善し、業務スタイルを改善し、サービス品質を向上させる。
(六)统一研判标准。充分发挥标准化建设在网络侵权信息举报工作中的基础性和引领性作用,研究制定依法有据、科学适用的网络侵权信息举报受理审核、研判处置标准。鼓励行业组织、网站平台积极参与标准制定。推动标准化实施应用,突出网站平台主体应用地位,努力实现从“有好标准”到“用好标准”的实践转化,逐步实现同一举报事项、同一受理条件、同一举证要求、同一办理结果。 (6)調査・判断標準の統一。 基本的かつ主導的な役割、研究開発、法律に基づいて、科学的に適用されるネットワーク情報報告侵害の監査、研究および処分基準の受け入れのネットワーク情報報告侵害の仕事の標準化を最大限に発揮する。 積極的に標準の開発に参加する業界団体、ウェブサイトのプラットフォームを奨励する。 標準化とアプリケーションの実装を促進し、ウェブサイトのプラットフォームの主なアプリケーションのステータスを強調し、変換の実践の "良い標準 "から "良い標準を使用する "を達成するために努力し、徐々に同じ報告事項、受け入れの同じ条件、証明のための同じ要件、同じ結果を達成する。
(七)强化技术支撑。加强技术系统建设,提升举报受理处置便捷化、智能化水平;拓展动态监测、统计分析、趋势研判、效果评估等功能,充分发挥数据基础资源作用,提高预测预防预警能力。加快推进网信部门网络举报技术管理系统有效衔接、互联互通,统筹推进技术融合、数据融合、业务融合,提升跨层级、跨地区网络侵权信息举报协同处置能力,为建立“一体受理、一体处置”的全国“一盘棋”工作格局提供支撑。 (7)技術サポートの強化。 技技術システムの構築を強化し、報告の受理と廃棄を便利でインテリジェントなレベルに高める。ダイナミックモニタリング、統計分析、トレンド分析、効果アセスメントなどの機能を拡大し、基礎データ資源の役割を十分に発揮させ、予測、予防、早期警報の能力を向上させる。 ネットワーク情報部門のネットワーク報告技術管理システムの効果的な接続、相互接続の促進を加速し、技術の統合、データの統合、ビジネスの統合を促進し、クロスレベル、クロスリージョナルネットワーク侵害情報の報告および処理能力を強化し、国家の「1つのディスクチェス」の「1つの受け入れ、1つの処分」の確立のために。 政府はまた、「一受一処」の全国的な「一将棋盤」作業パターンの確立を支援している。
三、切实保护公民个人网络合法权益 III. ネットにおける個人の正当な権利と利益の効果的な保護
(八)明确涉个人举报处置重点。重点受理处置未取得个人同意或违反国家有关规定,泄露公民家庭住址、身份证件、联系方式、医疗健康、行踪轨迹、金融账户等个人信息的举报线索。重点处置窃取、兜售个人信息的违法网站、账号。重点处置利用他人姓名、肖像、职务等显著标识特征,假冒仿冒他人发布信息、表达立场观点以及开展其他网络活动的违法账号。重点处置丑化污损他人肖像、错误关联或不当使用他人肖像,侮辱谩骂、诋毁诽谤、造谣抹黑侵犯他人名誉的违法和不良信息及相关账号。 (8)個人に関する報告書の処理の優先順位の明確化。 個人の同意や関連する国家規制の違反、市民の自宅住所、身分証明書、連絡先情報、医療・健康、居場所、金融口座、その他の個人情報の漏えい、手がかりとなる通報の受理と処分に重点を置く。 個人情報を盗んだり、売りつけたりする違法なウェブサイトやアカウントに注目する。 他人の名前、肖像、地位などの特色を利用し、偽の他人の真似をして情報を公開し、自分の立場や意見を表明し、また違法なアカウントの他のオンライン活動を行うことに重点を置く。 他人の肖像を誹謗中傷し、他人の肖像を不当に関連付け、または不当に利用し、侮辱し、罵倒し、中傷し、噂を作り、他人の評判を誹謗中傷する違法で望ましくない情報や関連するアカウントの処分に重点を置く。
(九)建立网络暴力信息举报快速处置通道。建立线上网络暴力信息举报专区,为网民提供便捷化举报渠道,快速受理处置针对个人集中发布的不友善、不文明言论,特别是“人肉搜索”、恶意攻击、造谣诽谤等网络暴力信息。从严处置首发、首转、多发、煽动传播网络暴力信息的账号。坚持线上处置和线下查处相结合,强化与执法司法部门的协同治理,提升网络暴力信息溯源能力,依法追究网络暴力实施者法律责任,提高网络暴力违法成本,从源头上遏制网络暴力乱象。 (9)オンライン暴力に関する通報を迅速に処理するルートを確立する。 ネット上の暴力情報を通報する特区を設け、ネット民に便利な通報ルートを提供し、個人が集中的に投稿した非友好的・非文明的発言、特に「人肉捜索」、悪意ある攻撃、風説の流布、名誉毀損などのネット上の暴力情報を迅速に受け入れ、処理する。 最初に投稿したアカウント、最初に転送したアカウント、最初に投稿したアカウント、最初にネット暴力情報の流布を扇動したアカウントには厳しく対処する。 また、オンラインとオフラインの捜査の結合を主張し、法執行機関や司法部門との協力ガバナンスを強化し、サイバー暴力に関する情報の追跡可能性を高め、サイバー暴力の加害者に法律に従って法的責任を負わせ、サイバー暴力犯罪のコストを引き上げ、サイバー暴力という現象を根源から抑制するようにした。
(十)加强特殊群体网络合法权益保护。优先保护未成年人网络合法权益,及时处置以文字、图片、音视频等形式,侮辱、诽谤、威胁未成年人或者恶意损害未成年人形象的违法和不良信息。及时处置泄露未成年人姓名、住所、照片以及其他可能识别出未成年人真实身份的违法和不良信息。依法严厉打击涉未成年人网络欺凌行为。依法保护妇女、残疾人、老年人等其他特殊群体网络合法权益,坚决处置性别歧视、年龄歧视、地域歧视等制造社会矛盾、煽动群体对立的违法和不良信息。 (10)インターネット上の特定の人々の正当な権利と利益の保護の強化。インターネット上の未成年者の正当な権利・利益の保護を優先し、未成年者を侮辱・誹謗中傷・脅迫したり、悪意をもって未成年者のイメージを損なうような文章・画像・音声・映像などの違法・好ましくない情報を適時に処分する。 未成年者の氏名、住居、顔写真等が判明する違法・好ましくない情報、その他未成年者の身元が特定されるおそれのある違法・好ましくない情報を適時に廃棄すること。 未成年者のネットいじめを法律に基づいて取り締まる。 インターネット上の女性、障害者、高齢者、その他特殊な集団の正当な権利と利益を法律に基づいて保護し、男女差別、年齢差別、地域差別など、社会的矛盾を生じさせ、集団の反感を煽る違法で望ましくない情報を断固として処分する。
(十一)把握举报受理处置重点领域。重点处置“自媒体”制作、复制、发布的虚假不实信息,建立网络账号(账号主体)黑名单机制,从严处理举报集中的违法违规账号及其主体。重点处置网络信息搜索服务提供者以链接、摘要、快照、联想词、相关搜索等形式推荐的侵权信息。重点处置网络话题、信息评论、网络直播、短视频、网络群组等栏目环节出现的互撕谩骂、拉踩引战等侵权信息。 (11)報告受理と処分の重要分野の把握。 「自己メディア」の作成、コピー、虚偽・不正確な情報の公開の処理に重点を置き、ネットワークアカウント(アカウント主体)のブラックリストメカニズムを確立し、違法アカウントとその主体の通報を厳格に処理する。 リンク、要約、スナップショット、連想語、関連検索などの形式で、ネットワーク情報検索サービス提供者が推薦する侵害情報の処理に力を入れる。 ネットトピック、情報コメント、ウェブ放送、ショートビデオ、ネットグループなどの欄に現れる、相互罵倒、引っ張り、踏みつけ、戦争に導くなどの侵害情報の処理に力を入れる。
四、切实维护企业网络合法权益 IV. ネットにおける企業の正当な権利と利益の効果的な保持
(十二)把握涉企举报处置重点。重点处置以吸睛引流、增粉养号、恶性竞争、不当盈利为目的,通过捏造事实、主观臆断、歪曲解读、恶意关联、蓄意炒作、翻炒旧闻等方式,侵害企业及企业家名誉、降低公众对企业产品或者服务社会评价,影响企业正常生产经营活动、干扰市场经济秩序的虚假不实信息。依法处置集纳企业负面信息进行敲诈勒索、假冒仿冒企业名称或显著标识开展网络活动的违法网站和账号。严厉打击操控舆论、恶意造谣诽谤企业名誉的网络水军。 (12)企業関連報告の処分の焦点の把握。 人目を引くトラフィック、いいねの数を増やし、悪質な競争を促し、事実の捏造、不適切な利益の獲得を目的とするもの、事実の捏造、主観的な思い込み、歪曲された解釈、悪意のある関連付け、意図的な憶測、古いニュースの蒸し返しなどを通じて、企業や企業家の評判を侵害し、企業の製品やサービスに対する国民の評価を低下させ、市場の経済秩序を妨害するようなものの処分に焦点をあてる。 法律に基づいて、恐喝や脅迫のために企業のネガティブな情報を収集し、企業の名称や特徴的なロゴを偽造・模倣してオンライン活動を行う違法なウェブサイトやアカウントを処分する。 世論を操作し、悪意を持って噂を作り、企業の評判を貶めるサイバー傭兵を取り締まる。
(十三)明确重点保障企业类型。依法保护企业及企业家网络合法权益,优化企业网上营商环境,支持各类所有制企业优化改革、发展壮大。重点保护“拟上市”企业网络合法权益,为企业顺利上市融资保驾护航;重点保护上市企业网络合法权益,稳定企业市值,提振投资者信心;重点保护高新技术企业、“专精特新”企业网络合法权益,助力企业创新发展、做大做优做强。 (13)保護すべき企業の種類の明確化。 法律に基づき、ネットワーク内の企業と企業家の合法的権益を保護し、企業のオンラインビジネス環境を最適化し、あらゆる所有形態の企業の改革と発展の最適化をサポートする。 「上場予定」企業の合法的権益の保護に重点を置き、企業の円滑な上場と融資を実現する。上場企業の合法的権益の保護に重点を置き、企業の市場価値を安定させ、投資家の信頼を高める。ハイテク企業の合法的権益の保護に重点を置き、「特化・特新」企業のネットワークに重点を置き、企業の革新と発展を助け、大企業、優良企業、新企業の発展を促進する。 また、ハイテク企業、「特化・特新」企業の合法的権益を保護し、企業の革新と発展を助け、より大きく、より良く、より強く成長させることに重点を置いている。
(十四)开设线上涉企举报专区。建立“两微两端”线上涉企举报专区,明确受理范围、举报要件、举证要求,积极受理属地企业网络侵权信息举报。针对属地网络侵权信息,按照“专人负责、优先办理、全程跟踪、限时办结”的工作原则,简化工作流程、依法快速处置。针对非属地网络侵权信息,按照相关规定和相关程序及时报送中央网信办。 (14)オープンオンライン企業関連報告領域の設立。2つのマイクロウェブ(WeChat, Weibo)の両方にオンライン企業関連通報エリアを設立し、受理範囲、通報要件、証明要件を明確にし、積極的に地域企業のネットワーク侵害情報通報を受理する。 地域ネットワーク侵害情報については、「担当者、優先処理、完全追跡、期限厳守」の作業原則に基づき、ワークフローを簡素化し、法に基づき迅速に処理する。 非領域のネットワーク侵害情報については、関連法規と関連手続きに基づき、中央インターネット情報局に提出する。
(十五)健全举报查证机制。拓宽工作思路,创新举证方法,丰富举证形式,降低企业举报难度,提升企业举报可行性。梳理总结侮辱谩骂污染网络生态、断章取义误导舆论、无备案仿冒假冒违法网站等显性网络侵权类别,明确无需司法、行政等国家机构举证的具体情形。探索第三方专业机构、行业标准、法律意见书、审计报告、公共服务平台查询结果、源发媒体信息等在网络侵权举证中的效用。建立与涉企职能管理部门的联动协同机制,对重要问题、重大线索进行分析研判、统筹调度,形成工作合力,为快速查证、及时处置创造有利条件。 (15)健全な報告・検証メカニズム。 思考の仕事を広げ、証明の革新的な方法、証明の豊富な形式、報告企業の難易度を下げ、企業報告の実現可能性を高める。 ネットワークエコロジーの侮辱と乱用の汚染、文脈から世論を誤解させる、模倣違法サイトや他の明白なネットワーク侵害のカテゴリの記録がない、司法、行政などの国家機関が特定の状況を証明することなくクリアを整理し、要約する。 第三者の専門組織、業界標準、法律意見、監査報告、公共サービスプラットフォームの問合せ結果、ソースメディア情報など、ネット侵害の証明における有用性を探る。 企業関連機能の管理との連携メカニズムを確立し、重要事項の分析と判断、主要な手がかり、調整とスケジューリング、迅速な調査と証拠、タイムリーな処理のための相乗効果を形成し、有利な条件を作り出す。
(十六)强化举报政策指导。主动靠前服务,积极为企业想办法、解难题。加强调查研究,摸排属地企业遭遇网络侵权情况,做到情况明、底数清。宣讲举报政策,加强培训指导,做好“送政策到企业”工作。建立与属地重点企业的沟通对接渠道,定期了解企业维权诉求,对维权诉求合理的,进行“一对一”定向辅导,解析举报方法,搭建举报渠道,强化服务保障;对维权诉求不合理的,积极做好解释说明工作。 (16)報告政策指導の強化。 積極的に前方サービスを提供し、積極的に企業が問題を解決する方法を考える。 調査研究を強化し、企業のネットワーク侵害のマッピングに遭遇し、状況が明確になるように、一番下の行が明確である。 内部告発の方針を説き、訓練と指導を強化し、「企業に方針を送る」仕事をしっかり行う。 地域の重点企業との連絡ルートを確立し、定期的に企業の権利、合理的なクレームの権利を理解し、「一対一」の指示カウンセリング、報告方法の分析、報告ルートを構築し、サービス保証を強化し、不合理なクレーム、積極的に仕事を説明するために良い仕事を行う。
(十七)严格规范企业举报行为。切实提升审核研判能力,准确把握舆论监督内涵和网络侵权标准,正确看待网上舆论监督对提升企业治理能力、完善企业生产运营机制的重要作用。按照“依法依规、有效引导、规范渠道”的原则,依法妥善处理涉劳资、合同、股权、产权、债务、消费等权益纠纷举报。合理设置举报条件,规范企业举报行为,防范举报权利滥用、扰乱举报工作秩序。 (17)企業の内部報告に対する厳格な規制。 審査・判断能力を効果的に高め、世論監視の意味合いとネット侵害の標準を正確に把握し、ネット世論監視がコーポレートガバナンス能力を高め、企業の生産・運営メカニズムを改善する上で重要な役割を果たすことを正しく捉える。 法律に従い、効果的に指導し、チャンネルを規制する」という原則に従い、法律に従い、労働、契約、持分、財産権、債務、消費者などの権益に関する紛争を適切に処理し、報告する。 合理的に報告条件を設定し、企業の報告行動を規制し、報告権の濫用を防止し、報告秩序を適切にする。
五、压紧压实网站平台主体责任 V. ウェブサイト・プラットフォームの主な責任を
(十八)严格督导检查。坚持全面检查和重点检查相结合,全面检查属地网站平台网络侵权信息举报工作情况,重点检查网站平台未按照有关法律法规及时处理反馈的显性网络侵权信息举报。建立问题台账,狠抓整改落实,对落实主体责任不力、网络侵权问题多发频发的网站平台,加强惩戒处罚。 (18)厳格な監督と検査。 包括的な検査と重要な検査の組み合わせを堅持し、地域のウェブサイトプラットフォーム上のネットワーク侵害情報の報告を包括的に検査し、ウェブサイトプラットフォームが関連法に従ってタイムリーに処理できない明示的なオンライン侵害情報の報告を検査することに重点を置く。問題のアカウントを確立し、是正の実施に細心の注意を払い、主要な責任を履行せず、オンライン侵害問題が頻繁に発生するウェブサイトプラットフォームに対する処罰と処罰を強化する。
(十九)设立投诉窗口。探索建立线上网民投诉受理窗口,及时办理网民关于属地网站平台处置网络侵权信息举报不及时、维护网民合法权益工作不到位的投诉。规范投诉处理程序,完善投诉处理措施,公布投诉处理办法。建立投诉办理情况查询系统,提高投诉处理质量和效率。健全网站平台网络侵权信息举报工作评价体系,引入群众评价参数指标,开展群众满意度测评。 (19)苦情の窓口の設置。 地域のウェブサイトやプラットフォームによるオンライン侵害情報の報告に対するネット利用者からの処理、およびネット利用者の合法的な権利と利益を保護する努力の欠如に関する苦情を迅速に処理するため、オンラインによるネット利用者の苦情受付窓口の設置を検討する。 苦情処理手順を標準化し、苦情処理措置を改善し、苦情処理方法を公表する。 苦情処理問合せシステムを確立し、苦情処理の質と効率を向上させる。 ウェブサイトやプラットフォームにおけるネット侵害情報通報の評価システムを改善し、大衆評価パラメーター指標を導入し、大衆満足度評価を実施する。
(二十)推动信息公开。指导属地重点网站平台建立常态化网络侵权信息举报受理处置情况通报机制。运用全媒体方式,显著位置发布,深度解析受理流程、研判标准、办理时限等社区规则,引导网民精准有效举报。公布网络侵权信息举报处置数量、处置措施、典型案例,接受公众监督。公开热点侵权事件举报处置情况,回应网民关切。 (20)情報公開を促進する。 地域の重要なウェブサイトプラットフォームを指導し、定期的なネットワーク侵害情報通報の受理と処理メカニズムを確立する。 全メディアのアプローチ、リリースの目立つ位置、受理プロセスの綿密な分析、研究と判断の標準、処理時間制限と他のコミュニティのルールを使用して、ネット利用者が正確かつ効果的に報告するように導く。 報告されたネットワーク侵害情報の処理件数、処理措置、典型的な事例を公表し、公衆の監督を受け入れる。 ホットな侵害事件の処理状況を公表し、ネットユーザーの懸念に応える。
(二十一)提升处置效果。指导网站平台完善分级分类网络侵权信息举报处置举措。建立快速通道机制,第一时间受理、第一时间处置显性网络侵权以及事实清楚、举证充分的举报。建立“限时加私”机制,对时效性强、举证时间久,可能给举报人造成较大负面影响的侵权信息,先行采取“加私”措施,及时阻断相关信息分享传播,为举报人完成举证提供时间窗口。建立“争议标签”机制,对涉及事项尚未得到充分证实的侵权信息,采取设置“内容存疑标签”或“链接当事人回应声明”等措施,引导网民客观评判,防止侵权信息误导舆论。 (21)処分の効果を高める。 ネットワーク侵害情報の報告や処分の取り組みの分類を改善するよう、ウェブサイトやプラットフォームを指導する。 「早期適用メカニズム」を確立し、初めて受理し、初めて明らかなネットワーク侵害を処分し、事実が明確で、文書化された報告書を提出する。 「限定的なプライバシーメカニズム」を確立し、時間が経過し証拠提出に時間がかかり、報告者に大きな負担をかける可能性のある侵害情報に対して、まず「プライバシーを強化」する措置を取り、関連情報の共有と拡散を迅速に阻止し、報告者が証拠を提出するための時間枠を提供する。さらに、「議論のタグ」メカニズムも設立されます。これは、侵害情報がまだ十分に確認されていない場合に、「内容疑問タグ」を設定したり、「関連者の応答声明」へのリンクを設けたりする措置を取る。これにより、ネットユーザーが客観的な判断を下すことができ、侵害情報が誤った情報を広めることを防ぐことができる。
六、组织实施 VI. 組織実施
(二十二)加强组织领导。提高政治站位,充分认识做好网络侵权信息举报工作的重要意义,将网络侵权信息举报工作作为管网治网重点任务,紧抓不放、常抓不懈。要精心谋划部署,制定工作方案,明确目标任务,细化工作举措。要认真组织实施,压紧压实各方责任,扎实有序推进,确保取得实效。 (22) 組織の指導力を強化する。 政治的スタンスを高め、ネット上の情報侵害をきちんと通報することの重要性を十分に理解し、ネット上の情報侵害を通報することをネットワーク管理の重要な任務として、緊密かつ執拗に行う。 注意深く配置を計画し、作業プログラムを作成し、明確な目標と任務を定め、作業イニシアティブを練り上げる。 真剣に実装を整理し、すべての当事者の責任に圧力を強化し、堅実かつ整然とした進展、効果を確保する。
(二十三)注重示范引领。坚持全面部署和试点带动相结合,围绕重点任务、关键举措开展试点示范工作,鼓励思路创新、举措创新、机制创新,及时总结推广优秀做法、典型经验,积极培育形成一批符合时代特征、贴近群众需求的网络侵权信息举报工作品牌。 (23)全面的な展開とパイロットプロジェクトの推進を組み合わせて堅持し、重点的なタスクやキーとなる措置に焦点を当てたパイロットデモンストレーションの業務、を展開する。思考の革新、措置の革新、メカニズムの革新を奨励し、優れた方法や典型的な経験を適時にまとめて広め、時代の特徴に合った、大衆のニーズに近いネットワーク侵害情報の報告作業ブランドを積極的に育成する。
(二十四)强化队伍建设。配齐配强工作力量,加强思想淬炼,增强宗旨意识,涵养为民服务精神。加强实践锻炼和业务培训,提高法律素养和媒介素养,提升为民服务本领和能力,着力打造一支业务精、能力强、守纪律、明底线的高素质专业化工作队伍。 (24)チームビルディングを強化する。全面的な展開とパイロットプロジェクトの推進を組み合わせて堅持し、重点的なタスクやキーとなる措置に焦点を当てたパイロットデモンストレーションの業務を展開する。思考の革新、措置の革新、メカニズムの革新を奨励し、優れた方法や典型的な経験を適時にまとめて広め、時代の特徴に合った、大衆のニーズに近いネットワーク侵害情報の報告作業ブランドを積極的に育成する。
(二十五)加强宣传推广。加强线上宣传,持续开展主题宣传、成效宣传、典型宣传,通过音画图文等多种手段,立体呈现网络侵权信息举报工作。加强线下推广,组织网络侵权信息举报工作宣传进基层、进社区、进学校、进企业,不断扩大网络侵权信息举报工作的公众知晓度、社会参与度。 (24)広報・宣伝を強化する。 オンライン宣伝を強化し、引き続きテーマ別の宣伝、宣伝の効果、典型的な宣伝を行い、音声や映像などの手段を通じて、ネットワーク侵害情報の報告作業を立体的に表現する。 オフラインでの宣伝活動を強化し、草の根、コミュニティ、学校、企業へのネットワーク侵害情報通報宣伝を組織し、国民の認識、社会参加のネットワーク侵害情報通報業務を絶えず拡大する。
中央网络安全和信息化委员会办公室 ネットワーク・セキュリティ情報化中央委員会弁公室

 

 

1_20210612030101

 

| | Comments (0)

JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項

こんにちは、丸山満彦です。

JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項が公開されましたね。。。

こちらは、一般社団法人情報セキュリティマネジメント認定センター (ISMS-AC) から発表はされていませんね。。。

(ISMS、BCMC、ITSMS等は、認定機関に対する要求事項であるJIS Q 17011: 2018(ISO/IEC 17011:2017)及び関連する国際基準に従って認定業務を遂行しているISMS-ACという認定機関が認証機関を認定し、その認証機関が認証をするというISOのマネジメントシステムの標準的な仕組みを採用しているのに対して、JISQ15001はそのようになっていないからですね。。。)

初版は1999.03.20 に制定され、2006.05.20、2017.12.20 に改正され、今回三度目の改正ということですね。。。

規格は日本規格協会 (JSA) で購入できます。。。

JSA

・2023.09.20 JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項 Personal information protection management systems -- Requirements

 

プレビュー...

・[PDF

20230921-55403

 

認証取得については、こちらも参考に...

● JIPDEC

・2023.09.20 JIS Q 15001改正に伴う構築・運用指針の対応について

 

 


古い話も...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.21 JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護—情報セキュリティマネジメントシステム—要求事項

・2006.05.22 JISの制定及び改定 Q13335-1, Q27001, Q27002, Q15001

・2006.04.11 JISQ15001とJISQ27001&27002の説明会

・2006.03.20 JIPDEC JIS Q 15001:2006への移行計画

・2005.12.15 経済産業省 パブコメ JISQ15001

・2005.02.19 個人情報は「取得」か「収集」か


 

 

| | Comments (0)

JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護—情報セキュリティマネジメントシステム—要求事項

こんにちは、丸山満彦です。

JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護—情報セキュリティマネジメントシステム—要求事項が公開されましたね。。。

一般社団法人情報セキュリティマネジメント認定センター (ISMS-AC) から発表がされていますね。。。

初版は2006.05.20 に制定され、2014.03.20 に改正され、今回二度目の改正ということですね。。。

 

ISMS-AC

・2023.09.20 ISMSの要求事項 JIS Q 27001:2023発行のお知らせ

認証取得については、こちらの注意も。。。

・2023.02.23 ISMS適合性評価制度 ISO/IEC 27001:2022 への対応について(更新版)

 

規格は日本規格協会 (JSA) で購入できます。。。

JSA

・2023.09.20 JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護―情報セキュリティマネジメントシステム―要求事項 Information security, cybersecurity and privacy protection -- Information security management systems -- Requirements

プレビュー...

・[PDF

20230921-52404

 

ちなみにその前は、JIS X 5080でしたね。。。

● JIPDEC(電子商取引推進協議会 セキュリティWG)

・2002.03 [PDF] 情報セキュリティ対策マネジメント標準 (JIS X 5080:IEC/IEC 17799) の解説


20230921-54050



 


古い話も...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.21 JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項

 

・2006.05.22 JISの制定及び改定 Q13335-1, Q27001, Q27002, Q15001

・2006.04.11 JISQ15001とJISQ27001&27002の説明会



 

| | Comments (0)

2023.09.20

米国 GAO 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする

こんにちは、丸山満彦です。

米国GAOが「人工知能の活用と急成長はその可能性と危険性を浮き彫りにする」という、ブログの記事を上げていましたね。。。

 

U.S. GAOWatchBlog 

・2023.09.06 Artificial Intelligence’s Use and Rapid Growth Highlight Its Possibilities and Perils

 

Artificial Intelligence’s Use and Rapid Growth Highlight Its Possibilities and Perils 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする
The rise of artificial intelligence has created growing excitement and much debate about its potential to revolutionize entire industries. At its best, AI could improve medical diagnosis, identify potential national security threats more quickly, and solve crimes. But there are also significant concerns—in areas including education, intellectual property, and privacy. 人工知能の台頭は、産業全体に革命をもたらす可能性について、大きな興奮と多くの議論を巻き起こしている。AIは最高の状態で、医療診断を改善し、潜在的な国家安全保障上の脅威をより迅速に特定し、犯罪を解決する可能性がある。しかし、教育、知的財産、プライバシーなどの分野では大きな懸念もある。
Today’s WatchBlog post looks at our recent work on how Generative AI systems (for example, ChatGPT and Bard) and other forms of AI have the potential to provide new capabilities, but require responsible oversight. 本日のWatchBlogでは、生成的AIシステム(例えば、ChatGPTやBard)や他の形態のAIが、どのように新しい能力を提供する可能性があるかについての我々の最近の研究を紹介する。
1_20230920131901
The promise and perils of current AI use 現在のAI利用がもたらす期待と危険
Our recent work has looked at three major areas of AI advancement. 我々の最近の研究では、AIの進歩の3つの主要分野を見てきた。
Generative AI systems can create text (apps like ChatGPT and Bard, for example), images, audio, video, and other content when prompted by a user. These growing capabilities could be used in a variety of fields such as education, government, law, and entertainment. As of early 2023, some emerging generative AI systems had reached more than 100 million users. Advanced chatbots, virtual assistants, and language translation tools are examples of generative AI systems in widespread use. As news headlines indicate, this technology continues to gain global attention for its benefits. But there are concerns too, such as how it could be used to replicate work from authors and artists, generate code for more effective cyberattacks, and even help produce new chemical warfare compounds, among other things. Our recent Spotlight on Generative AI takes a deeper look at how this technology works. 生成的AIシステムは、テキスト(例えばChatGPTやBardのようなアプリ)、画像、音声、動画、その他のコンテンツを、ユーザーに促されるままに作成することができる。こうした能力の向上は、教育、政府、法律、エンターテインメントなど、さまざまな分野で活用される可能性がある。2023年初頭の時点で、いくつかの新興の生成的AIシステムの利用者は1億人を超えている。高度なチャットボット、バーチャルアシスタント、言語翻訳ツールは、広く使われている生成的AIシステムの一例である。ニュースの見出しが示すように、この技術はその利点から世界的に注目を集め続けている。しかし、作家やアーティストの作品を複製したり、より効果的なサイバー攻撃のコードを生成したり、新たな化学兵器化合物の生産に役立てたりするために使用される可能性があるなど、懸念もある。我々の最近のスポットライト「生成的AI」では、この技術がどのように機能するかについて詳しく見ている。
Machine learning is a second application of AI growing in use. This technology is being used in fields that require advanced imagery analysis, from medical diagnostics to military intelligence. In a report last year, we looked at how machine learning was used to assist the medical diagnostic process. It can be used to identify hidden or complex patterns in data, detect diseases earlier and improve treatments. We found that benefits include more consistent analysis of medical data, and increased access to care, particularly for underserved populations.  However, our work looked at limitations and bias in data used to develop AI tools that can reduce their safety and effectiveness and contribute to inequalities for certain patient populations. 機械学習はAIの第二の応用として利用が拡大している。この技術は、医療診断から軍事情報まで、高度な画像分析を必要とする分野で利用されている。昨年のレポートでは、医療診断プロセスを支援するために機械学習がどのように使用されているかを調べた。機械学習は、データの隠れたパターンや複雑なパターンを特定し、病気の早期発見や治療法の改善に利用できる。我々は、医療データの分析がより一貫性を持ち、特に十分なサービスを受けていない人々のケアへのアクセスが増加するなどの利点があることを発見した。 しかし、我々の研究は、AIツールの安全性と有効性を低下させ、特定の患者集団の不平等を助長する可能性のある、AIツールの開発に使用されるデータの限界とバイアスについて調べた。
Facial recognition is another type of AI technology that has shown both promises and perils in its use. Law enforcement—federal, as well as state and local—have used facial recognition technology to support criminal investigations and video surveillance. It is also used at ports of entry to match travelers to their passports. While this technology can be used to identify potential criminals more quickly, or those who may not have been identified without it, our work has also found some concerns with its use. Despite improvements, inaccuracies and bias in some facial recognition systems could result in more frequent misidentification for certain demographics. There are also concerns about whether the technology violates individuals’ personal privacy. 顔認識もまた、AI技術の一種であり、その利用には期待と危険の両面がある。連邦、州、地方の法執行機関は、犯罪捜査やビデオ監視を支援するために顔認識技術を使用してきた。また、入国港で旅行者とパスポートを照合するためにも使われている。この技術は、潜在的な犯罪者や、この技術がなければ識別できなかったかもしれない人物を、より迅速に識別するために使用されることがあるが、我々の調査では、この技術の使用にはいくつかの懸念もあることがわかった。改善されたとはいえ、一部の顔認識システムには不正確さやバイアスがあり、その結果、特定の層で誤認が頻発する可能性がある。また、この技術が個人のプライバシーを侵害するのではないかという懸念もある。
1_20230920152001
Ensuring accountability and mitigating the risks of AI use 説明責任の確保とAI利用のリスク低減
As AI use continues its rapid expansion, how can we mitigate the risks and ensure these systems are working appropriately for all? AIの利用が急速に拡大する中、どのようにリスクを軽減し、これらのシステムがすべての人に適切に機能するようにすればよいのだろうか。
Appropriate oversight will be critical to ensuring AI technologies remain effective, and keep our data safeguarded. We developed an AI Accountability Framework to help Congress address the complexities, risks, and societal consequences of emerging AI technologies. Our framework lays out key practices to help ensure accountability and responsible AI use by federal agencies and other entities involved in the design, development, deployment, and continuous monitoring of AI systems. It is built around four principles—governance, data, performance, and monitoring—which provide structures and processes to manage, operate, and oversee the implementation of AI systems. AI技術が効果的であり続け、我々のデータが保護され続けるためには、適切な監視が不可欠である。我々は、議会が新たなAI技術の複雑性、リスク、社会的影響に対処するのを支援するため、AI説明責任フレームワークを開発した。我々のフレームワークは、AIシステムの設計、開発、配備、継続的モニタリングに関わる連邦政府機関やその他の事業体による説明責任と責任あるAI利用を確保するための主要な実践方法を示している。ガバナンス、データ、パフォーマンス、モニタリングという4つの原則を中心に構築されており、AIシステムの導入を管理、運用、監督するための仕組みとプロセスを提供する。
AI technologies have enormous potential for good, but much of their power comes from their ability to outperform human abilities and comprehension. From commercial products to strategic competition among world powers, AI is poised to have a dramatic influence on both daily life and global events. This makes accountability critical to its application, and the framework can be employed to ensure that humans run the system—not the other way around. AIテクノロジーは善のために莫大な可能性を秘めているが、そのパワーの多くは、人間の能力や理解力を凌駕する能力に由来する。商業製品から世界大国間の戦略的競争まで、AIは日常生活と世界的出来事の両方に劇的な影響を及ぼす態勢を整えている。そのため、AIの応用にはアカウンタビリティが不可欠であり、このフレームワークは、人間がシステムを動かすのではなく、その逆を確実にするために採用することができる。

 

 

 


 

 

 まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.15 米国 GAO 科学技術スポットライト:生成的AI

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2020.12.02 U.S. GAO 医療における人工知能:患者ケアを強化する技術の利点と課題

 

 

| | Comments (0)

OECD 通信インフラのセキュリティの強化 (2023.09.13)

こんにちは、丸山満彦です。

OECDが通信インフラのセキュリティの強化についての報告書を公表していますね。。。

 

OECD

・2023.09.13 Enhancing the security of communication infrastructure

Enhancing the security of communication infrastructure 通信インフラのセキュリティを強化する
The digital security of communication networks is crucial to the functioning of our societies. Four trends are shaping networks, raising digital security implications: i) the increasing criticality of communication networks, ii) increased virtualisation of networks and use of cloud services, iii) a shift towards more openness in networks and iv) the role of artificial intelligence in networks. These trends bring benefits and challenges to digital security. While digital security ultimately depends on the decisions made by private actors (e.g. network operators and their suppliers), the report underlines the role governments can play to enhance the digital security of communication networks. It outlines key policy objectives and actions governments can take to incentivise the adoption of best practices and support stakeholders to reach an optimal level of digital security, ranging from light-touch to more interventionist approaches. 通信ネットワークのデジタル・セキュリティは、社会の機能にとって極めて重要である。i) 通信ネットワークの重要性の増大、ii) ネットワークの仮想化とクラウドサービスの利用拡大、iii) ネットワークのオープン化へのシフト、iv) ネットワークにおける人工知能の役割。これらのトレンドは、デジタル・セキュリティに利益と課題をもたらす。デジタル・セキュリティは、最終的には民間事業者(ネットワーク事業者やそのサプライヤーなど)の意思決定に依存するが、本報告書では、通信ネットワークのデジタル・セキュリティを強化するために政府が果たせる役割を強調している。本報告書では、ベストプラクティスの導入にインセンティブを与え、関係者が最適なデジタル・セキュリティ・レベルに到達できるよう支援するために政府が取り得る主な政策目標と行動を、ライトタッチからより介入的なアプローチまで幅広く概説している。

 

・[PDF]

20230920-100509

・[DOCX] 仮訳

 

目次...

Foreword 序文
Executive summary 要旨
Enhancing the security of communication infrastructure 通信インフラのセキュリティ強化
Introduction はじめに
Scope スコープ
Digital security of communication networks 通信ネットワークのデジタル・セキュリティ
A brief description of communication networks 通信ネットワークの簡単な説明
Trends in communication networks impacting digital security risk デジタル・セキュリティ・リスクに影響を与える通信ネットワークの動向
Increasing criticality of communication networks 高まる通信ネットワークの重要性
Virtualisation of networks and the integration of cloud services ネットワークの仮想化とクラウドサービスの統合
Towards more openness in networks ネットワークのオープン化に向けて
Artificial Intelligence (AI) in communication networks 通信ネットワークにおける人工知能(AI)
Cross-cutting overview of security implications 安全保障への影響を横断的に概観する
Main security benefits: a potential for increased transparency, automation and supply chain diversification 主な安全保障上のメリット:透明性の向上、自動化、サプライチェーンの多様化の可能性
High-level challenges: a shift in scale, scope and speed 高レベルの課題:規模、範囲、スピードの変化
Policy discussion 政策討議
Policy objectives 政策目標
Policy actions and country initiatives around the OECD OECD周辺の政策措置と各国の取り組み
Concluding remarks 結びの言葉
Annex 1. Open Source Software in communication networks 附属書 1.通信ネットワークにおけるオープンソースソフトウェア
Annex 2. Open RAN initiatives in OECD countries 附属書 2.OECD諸国におけるオープンRANの取り組み
Annex 3. Selection of legal requirements for the digital security of communication networks 附属書 3.通信ネットワークのデジタル・セキュリティに関する法的要件の選択
References 参考文献

 

エグゼクティブサマリー...

Executive summary  要旨 
Communication networks are the foundation of the digital transformation. Given their crucial role, digital security and resilience have become a priority for policy makers across the OECD to ensure the functioning of our digitally dependent economies and societies and strengthen trust in the ongoing digital transformation. However, cyberattacks on these networks are on the rise and increasingly sophisticated. At the same time, communication networks are undergoing significant changes and are being upgraded to new technological standards (e.g. 5G and 6G), which, in turn, impact their security.   通信ネットワークはデジタルトランスフォーメーションの基盤である。その重要な役割を踏まえ、デジタルに依存する経済社会の機能を確保し、進行中のデジタル変革に対する信頼を強化するため、デジタル・セキュリティとレジリエンスはOECD全体の政策決定者にとって優先事項となっている。しかし、こうしたネットワークに対するサイバー攻撃は増加傾向にあるます巧妙になっている。同時に、通信ネットワークは大きな変化を遂げ、新たな技術標準(5Gや6Gなど)に更新されつつあり、その結果、セキュリティにも影響を及ぼしている。  
This report considers four trends that are shaping and changing communication networks and the digital security implications these raise:  本報告書では、通信ネットワークを形成・変化させつつある4つのトレンドと、それらがデジタル・セキュリティに与える影響について考察する: 
•       The increasing criticality of and reliance on communication networks by the economy and society, which is changing the context of digital security of communication networks.   •       経済社会における通信ネットワークの重要性と依存度の高まりは、通信ネットワークのデジタル・セキュリティの文脈を変えつつある。  
•       An increased virtualisation of networks and a more important use of cloud services.   •       ネットワークの仮想化が進み、クラウドサービスの利用がより重要になる。  
•       A shift towards more openness in networks, including open radio access network (RAN).   •       オープンな無線アクセス・ネットワーク(RAN)を含む、ネットワークのオープン化へのシフト。  
•       The role of artificial intelligence in communication networks.   •       通信ネットワークにおける人工知能の役割。  
Each of these trends is shaping communication networks and, therefore, prompts questions on their implications on digital security.  これらのトレンドはそれぞれ通信ネットワークを形成しているため、デジタル・セキュリティーにどのような影響を与えるのか疑問が残る。 
On the one hand, these trends benefit digital security risk management of communication infrastructure. They can help improve network visibility and management, enable network segmentation and isolation, allocate security resources more effectively, and automate the early detection of malware and malicious activity. Increased transparency and reduced dependencies on certain suppliers are additional possible benefits to digital security, driven by the shift towards more openness.   一方では、これらのトレンドは通信インフラのデジタル・セキュリティ・リスク管理に有益である。ネットワークの可視性と管理の向上、ネットワークのセグメンテーションと分離の実現、セキュリティ・リソースの効果的な割り当て、マルウェアや悪意のある活動の早期検出の自動化などに役立つ。透明性の向上や特定のサプライヤーへの依存度の低減も、オープン化へのシフトによってデジタル・セキュリティにもたらされる可能性のあるメリットである。  
However, these trends also challenge digital security risk management in communication infrastructure. Overall, they result in:  しかし、こうした傾向は、通信インフラにおけるデジタル・セキュリティ・リスク管理の課題にもなっている。全体として、以下のような結果となっている: 
•       An expanding attack surface (i.e. the set of points of an information system that are potentially vulnerable to an attack). Since the architecture of communication networks is increasingly complex, and because networks are increasingly software-defined, cloud-based and virtualised, they contain more software vulnerabilities that can be exploited.  •       拡大する攻撃対象領域(情報システムにおいて潜在的に攻撃を受けやすいポイントの集合)。通信ネットワークのアーキテクチャはますます複雑化し、ネットワークはますますソフトウェアで定義され、クラウドベースになり、仮想化されているため、悪用される可能性のあるソフトウェアの脆弱性がより多く含まれている。 
•       A broader and more complex supply chain. Some of the technological advancements outlined in the trends tend to increase the dependency of network operators on some of their suppliers and to redistribute control and responsibility for the management of digital security risk along the entire value chain. These suppliers include providers of telecommunication equipment, as well as providers of cloud, components, servers and managed services, which are likely to play an increasingly important role in the digital security of communication networks. The communication infrastructure supply chain is often complex, which makes the allocation of responsibility in case of a digital security incident even more difficult.  •       より広範で複雑なサプライチェーン。トレンドで説明した技術的進歩の中には、ネットワーク事業者の一部のサプライヤーへの依存度を高め、バリューチェーン全体にわたってデジタル・セキュリティ・リスクの管理に対する統制と責任を再分配する傾向があるものもある。こうしたサプライヤーには、通信機器のプロバイダーだけでなく、クラウド、コンポーネント、サーバー、マネージド・サービスのプロバイダーも含まれ、通信ネットワークのデジタル・セキュリティにおいてますます重要な役割を果たすようになると考えられる。通信インフラのサプライチェーンは複雑であることが多いため、デジタル・セキュリティ・インシデントが発生した場合の責任分担はさらに難しくなる。 
•       An aggravating threat landscape, driven in part by the commoditisation of attacks (e.g., “ransomware-as-a-service”) and the increasing sophistication of State-sponsored and other threat actors. Against this backdrop, malicious actors’ motivation to breach communication networks’ availability, integrity or confidentiality is significantly increasing as communication networks become increasingly critical.   •       攻撃のコモディティ化(例:「ランサムウェア・アズ・ア・サービス」)や、国家やその他の脅威行為者の巧妙化などにより、脅威の状況は悪化の一途をたどっている。このような背景から、通信ネットワークの可用性、完全性、機密性を侵害しようとする悪意のある行為者の動機は、通信ネットワークの重要性が増すにつれて著しく高まっている。  
The paradox facing governments is that while communication networks are increasingly considered critical infrastructure, their digital security ultimately depends upon decisions made by third parties, namely network operators and their suppliers. Nevertheless, governments do have a clear role to play to incentivise the adoption of digital security best practices and to support an enabling environment that empowers stakeholders to reach an optimal level of digital security. This can be fostered through the following policy objectives:  政府が直面しているパラドックスは、通信ネットワークがますます重要なインフラと見なされるようになっている一方で、そのデジタル・セキュリティは最終的に第三者、すなわちネットワーク事業者とその供給業者の意思決定に依存しているということである。とはいえ、政府には、デジタル・セキュリティのベスト・プラクティスを導入するインセンティブを与え、利害関係者がデジタル・セキュリティの最適なレベルに到達できるような環境を支援するという明確な役割がある。これは、以下の政策目標を通じて促進することができる: 
•       First, adopting a holistic and strategic approach towards enhancing the digital security of communication infrastructure, which i) considers the entire lifecycle of products and services on which operators rely, ii) gathers all relevant stakeholders and iii) is co-ordinated across the whole government and at the international level. Importantly, co-ordination across governmental agencies and a clear definition of responsibility and/or mandates between them are essential.   •       第一に、通信インフラのデジタル・セキュリティ強化に向けた全体的かつ戦略的なアプローチを採用することである。このアプローチは、i) 事業者が依存する製品やサービスのライフサイクル全体を考慮し、ii) 関連するすべての利害関係者を集め、iii) 政府全体および国際レベルで調整される。重要なことは、政府機関間の調整と、政府機関間の責任や権限の明確な定義が不可欠であるということである。  
•       Second, incentivising network operators to enhance digital security and adopt comprehensive risk management frameworks (i.e., risk assessment and risk treatment) and encouraging them to explore more advanced security approaches, such as the “zero trust” model.   •       第二に、ネットワーク事業者がデジタル・セキュリティを強化し、包括的なリスク管理の枠組み(すなわち、リスク評価とリスク処理)を採用するインセンティブを与え、「ゼロトラスト」モデルなど、より高度なセキュリティ・アプローチを模索するよう促すことである。  
•       Third, addressing supply chain digital security risk by incentivising suppliers to improve supply chain transparency (e.g. through enhanced traceability of components and digital security certification) and supporting diversification within information and communication technology and services supply chains.   •       第三に、サプライチェーンの透明性向上(部品のトレーサビリティ強化やデジタルセキュリティ認証の取得など)や、情報通信技術・サービスのサプライチェーンにおける多様化を支援することにより、サプライチェーンのデジ タルセキュリティ・リスクに対処する。  
These three objectives can help structure public policy interventions to improve the digital security of communication infrastructure. Governments can apply several policy actions to address the cross-cutting challenges and uphold policy objectives, ranging from light-touch to more interventionist approaches: voluntary frameworks and guidance, multistakeholder initiatives and funding research, third-party evaluation and certification, public procurement, and legal requirements. These actions can be shaped as needed to carefully address the cross-cutting challenges in terms of scope, scale and speed of cyberattacks. OECD countries have introduced policy initiatives spanning these policy actions, from voluntary frameworks to legal requirements on digital security. However, digital security is an ever-moving target that requires constant re-evaluation, both regarding the best practices available for private stakeholders to implement as well as the structure and objective of public policies to create the enabling environment to incentivise the adoption of best practices by private stakeholders.  これら3つの目的は、通信インフラのデジタル・セキュリティを向上させるための公共政策の介入を構成するのに役立つ。政府は、横断的な課題に対処し、政策目標を堅持するために、自主的な枠組みやガイダンス、マルチステークホルダー・イニシアティブ、研究への資金提供、第三者による評価と認証、公共調達、法的要件など、軽いタッチからより介入的なアプローチまで、いくつかの政策行動を適用することができる。これらの措置は、サイバー攻撃の範囲、規模、スピードといった横断的な課題に注意深く対処するために、必要に応じて形成することができる。OECD加盟国は、自主的な枠組みからデジタルセキュリティに関する法的要件まで、これらの政策行動にまたがる政策イニシアチブを導入している。しかし、デジタル・セキュリティは常に動き続ける目標であり、民間の利害関係者が実施可能なベスト・プラクティスだけでなく、民間の利害関係者によるベスト・プラクティスの採用にインセンティブを与える環境を整備するための公共政策の構造や目的についても、常に再評価が必要である。 

 

 

| | Comments (0)

ENISA 2030の脅威の展望 (2023.09.13)

こんにちは、丸山満彦です。

ENISAが、2030のサイバー脅威を展望する報告書の要約書を公表していますね。。。2023.03.29に公表された報告書の要約ですね。。。

 

⚫︎ ENISA

・2023.09.13 Foresight 2030 Threats

・[PDF]

20230920-41501

 

EXECUTIVE DIRECTOR FOREWORD エグゼクティブ・ディレクター まえがき
The cybersecurity threat landscape is a complex ecosystem of threats, threats actors and attack techniques that are also subject to the influence of world events such as pandemics and geopolitics. The best knowledge, and tools we have at hand today to reduce the impact of cyber threats might not fit tomorrow’s threat landscape. サイバーセキュリティの脅威の状況は、脅威、脅威行為者、攻撃手法の複雑なエコシステムであり、パンデミックや地政学などの世界的な出来事の影響も受ける。サイバー脅威の影響を軽減するために今日我々が手にしている最善の知識やツールは、明日の脅威の状況に適合しないかもしれない。
Can we foresee the full extent of the potential use or abuse of our current technological developments? 私たちは、現在の技術開発の潜在的な利用や悪用の全容を予見することができるのだろうか?
Even if we still cannot predict the future, we have the duty to anticipate emerging trends and patterns.  たとえ未来を予測できないとしても、私たちには新たなトレンドやパターンを予測する義務がある。
In 2021, ENISA developed a cybersecurity foresight methodological framework grounded in foresight research and future studies.  The framework was first used in 2022 to devise future scenarios and identify threats and challenges likely to emerge by 2030. This methodology was produced in cooperation with the wider cybersecurity community. 2021年、ENISAは先見研究と未来研究に基づくサイバーセキュリティの先見性の方法論的枠組みを開発した。 このフレームワークは2022年に初めて使用され、将来のシナリオを考案し、2030年までに出現しそうな脅威と課題を特定した。この方法論は、より広範なサイバーセキュリティ・コミュニティと協力して作成された。
This booklet summarises upcoming challenges and provides for an assessment of the risks. We are now ready to design the cyber secure future ahead of us.  この小冊子は、今後の課題を要約し、リスクのアセスメントを提供するものである。我々は今、サイバーセキュアな未来を設計する準備が整った。
Juhan Lepassaar Executive Director ユーハン・レパサール エグゼクティブ・ディレクター
Reference to the report page:   報告書のページを参照する:  
[web] [web]
1. SUPPLY CHAIN COMPROMISE OF SOFTWARE DEPENDENCIES 1. ソフトウェア依存のサプライチェーン侵害
WHAT IF… もしも...
State-sponsored actors insert a backdoor in a well-known and popular open-source library on online code repository. They use this to infiltrate information from most major European corporations and use the information to blackmail leaders, espionage, or otherwise initiate disruptions across the EU. 国家に支援されたアクターが、オンラインコードリポジトリ上の有名で人気のあるオープンソースライブラリにバックドアを挿入する。彼らはこれを利用して、欧州のほとんどの大企業の情報に侵入し、その情報を使ってリーダーを脅迫したり、スパイ活動を行ったり、あるいはEU全域に混乱を引き起こす。
More integrated components and services from third party suppliers and partners could lead to novel and unforeseen vulnerabilities with compromises on the supplier and customer side. サードパーティーのサプライヤーやパートナーから提供されるコンポーネントやサービスがさらに統合されれば、サプライヤー側と顧客側で危殆化し、斬新で予期せぬ脆弱性につながる可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations 国家支援グループ、犯罪組織
POTENTIAL METHODS  潜在的手法 
Sabotage, theft, network reconnaissance, malicious code, abuse of information leakage 妨害工作、窃盗、ネットワーク偵察、悪質コード、情報漏洩の悪用
POTENTIAL IMPACTS  潜在的影響 
Disruption, malfunction, data loss, data leakage 混乱、故障、データ損失、データ漏洩
2. ADVANCED DISINFORMATION CAMPAIGNS  2. 高度な偽情報キャンペーン 
WHAT IF… もし...
A state-sponsored actor may impersonate a political rival by using deepfakes and spoofing the candidate’s digital identity, significantly impacting election results. 国家に支援されたアクターが、ディープフェイクを使用し、候補者のデジタル・アイデンティティを詐称することで、政敵になりすまし、選挙結果に大きな影響を与える可能性がある。
Deepfake attacks can manipulate communities for (geo) political reasons and for monetary gain. ディープフェイク攻撃は、(地理的)政治的理由や金銭的利益のためにコミュニティを操作することができる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations, hackitvists 国家支援グループ、犯罪組織、ハクティビスト
POTENTIAL METHODS  潜在的手法 
Fraud, unauthorised access, session hijacking, identity theft, abuse of personal data 詐欺、不正アクセス、セッションハイジャック、なりすまし、個人データの悪用
POTENTIAL IMPACTS  潜在的影響 
Distrust, disinformation, financial damage, foreign information manipulation and interference (FIMI) 不信、偽情報、金銭的被害、外国による情報操作・妨害(FIMI)
3. RISE OF DIGITAL SURVEILLANCE AUTHORITARIANISM / LOSS OF PRIVACY 3. デジタル監視の権威主義の台頭/プライバシーの喪失
WHAT IF… もし...
An authoritarian regime uses their power to retrieve databases of information about individuals who have visited their country, participated in anti-government protests, put them on a watch list, from both public and private entities. They track all those who and subsequently are able to manipulate those individuals’ access to national services like voting, visits to their healthcare providers, or access to other online services.  権威主義政権が権力を行使して、自国を訪問した個人、反政府デモに参加した個人、監視リストに登録された個人に関する情報を、公的・私的事業体の両方からデータベース化する。そして、投票、医療プロバイダへの訪問、その他のオンラインサービスへのアクセスといった国家サービスへのアクセスを操作することができる。
Facial recognition, digital surveillance on internet platforms or digital identities data stores may become a target for criminal groups. 顔認識、インターネット・プラットフォーム上のデジタル監視、デジタル・アイデンティティ・データ・ストアは、犯罪集団の標的になる可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations 国家支援グループ、犯罪組織
POTENTIAL METHODS  潜在的手法 
Man in the middle, malicious software, use of rogue certificates, abuse of personal data 中間者、悪意のあるソフトウェア、不正な証明書の使用、個人データの悪用
POTENTIAL IMPACTS  潜在的影響 
Privacy breaches, human rights abuses プライバシー侵害、人権侵害
4. HUMAN ERROR AND EXPLOITED LEGACY SYSTEMS WITHIN CYBER PHYSICAL ECOSYSTEMS  4. サイバーフィジカル・エコシステム内のヒューマンエラーと悪用されたレガシーシステム 
WHAT IF… もしも...
Manuals for all legacy OT equipment are available online and studied primarily by state-sponsored groups. Once a vulnerability is found, they target user devices or other IoT products used at the plant. Cyber criminals begin a new form of ransomware in which they bring down important infrastructure and demand payment, given that the operator likely lacks the resources to solve the issue themselves. すべてのレガシーOT機器のマニュアルがオンラインで入手可能で、主に国家支援グループによって研究されている。脆弱性が発見されると、工場で使用されているユーザー機器や他のIoT製品を標的にする。サイバー犯罪者は、重要なインフラをダウンさせ、オペレータが自分で問題を解決するリソースがない可能性が高いことを理由に、支払いを要求する新しい形のランサムウェアを始める。
The fast adoption of IoT, the need to retrofit legacy systems and the ongoing skill shortage could lead to a lack of knowledge, training and understanding of the cyberphysical ecosystem, which can lead to security issues. IoTの急速な普及、レガシーシステムの改修の必要性、継続的なスキル不足は、サイバーフィジカルエコシステムに関する知識、トレーニング、理解の不足につながり、セキュリティ問題に発展する可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, cyber criminals, hacktivists 国家支援グループ、サイバー犯罪者、ハクティビスト
POTENTIAL METHODS  潜在的手法 
Tampering, failure of communication links, denial of service, malicious activity, manipulation of information, targeted attacks, brute force, unauthorised physical access 改ざん、通信回線の障害、サービス拒否、悪意ある活動、情報操作、標的型攻撃、総当たり攻撃、無許可の物理的アクセス
POTENTIAL IMPACTS  潜在的影響 
Malfunction, failures and outages, physical damage 誤動作、故障、停止、物理的損害
5. TARGETED ATTACKS (E.G. RANSOMWARE) ENHANCED BY SMART DEVICE DATA 5. スマートデバイスのデータによって強化される標的型攻撃(ランサムウェアなど)
WHAT IF… もしも...
Cybercriminals may use the increased amount of available data from smart devices and analyse it with AI to create behavioral models of their victims for spear phishing campaigns or stalking. サイバー犯罪者は、スマートデバイスから得られる利用可能なデータ量の増加を利用し、それをAIで分析して被害者の行動モデルを作成し、スピアフィッシングキャンペーンやストーキングを行う可能性がある。
Through data obtained from internet-connected smart devices, attackers can access information for tailored and more sophisticated attacks. インターネットに接続されたスマートデバイスから得られるデータを通じて、攻撃者は、カスタマイズされたより高度な攻撃のための情報にアクセスすることができる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
Cybercrime actors, hackers-for-hire サイバー犯罪関係者、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Denial of service, interception of information, social engineering, unauthorised activities, data breach サービス拒否、情報傍受、ソーシャル・エンジニアリング、不正行為、データ侵害
POTENTIAL IMPACTS  潜在的影響 
Financial damage, privacy breaches 金銭的被害、プライバシー侵害
6. LACK OF ANALYSIS AND CONTROL OF SPACEBASED INFRASTRUCTURE AND OBJECTS 6. 宇宙を拠点とするインフラや物体の分析と制御の欠如
WHAT IF… もし...
State-sponsored attackers access space infrastructure, build up presence to execute attacks. Their aim may be to create infrastructure their capabilities and knowledge of the technology, and secure their malfunctions as a statecraft tool to sabotage other governments or commercial space operations and systems during geopolitical conflicts. 国家に支援された攻撃者が宇宙インフラにアクセスし、攻撃を実行するためのプレゼンスを構築する。彼らの狙いは、地政学的な対立の中で、他国政府や民間企業の宇宙事業やシステムを妨害するための国家工作ツールとして、その能力や技術に関する知識をインフラに蓄積し、その機能不全を確保することかもしれない。
Due to the intersections between private and public infrastructure in space, the security of these new infrastructures and technologies need to be investigated as a lack of understanding, analysis and control of space-based infrastructure can make it vulnerable to attacks and outages. 宇宙における私的インフラと公的インフラが交錯しているため、宇宙ベースのインフラに対する理解、分析、管理の欠如が攻撃や機能停止に対する脆弱性を生む可能性があるため、これらの新しいインフラや技術の安全性を調査する必要がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, cybercrime actors, hackers-for-hire 国家に支援されたアクター、サイバー犯罪アクター、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Unauthorised use of IPR protected resources, targeted attacks, fraud, sabotage, information leakage, session hijacking, malicious software 知的財産権で保護されたリソースの不正使用、標的型攻撃、詐欺、妨害行為、情報漏洩、セッションハイジャック、悪意のあるソフトウェア
POTENTIAL IMPACTS  潜在的影響 
Damage, outages, malfunctions 損害、停止、不具合
7. RISE OF ADVANCED HYBRID THREATS 7. 高度なハイブリッド型脅威の台頭
WHAT IF… もし...
Hackers are hired by a corporation to investigate the new technology being developed by a competitor. In their quest, they are able to retrieve metadata, view code, and set up a machine learning algorithm that continuously collects changes to the code and then continuously accesses user account to prevent monitoring systems from recognising that the attacker is in the network. In parallel they obfuscate the activity by spreading fake news about insider trading and industrial espionage from a third competitor by dropping fake evidence of physical intrusion. ハッカーが企業に雇われ、競合他社が開発中の新技術を調査する。その調査において、彼らはメタデータを取得し、コードを閲覧し、コードへの変更を継続的に収集する機械学習アルゴリズムをセットアップすることができ、監視システムが攻撃者がネットワーク内にいることを認識できないように、ユーザーアカウントに継続的にアクセスする。並行して、物理的な侵入の偽の証拠を投下することで、インサイダー取引や第三の競争相手からの産業スパイに関する偽ニュースを拡散し、活動を難読化する。
Physical or offline attacks are evolving and becoming often combined with cyberattacks due to the increase of smart devices, cloud usage, online identities and social platforms. 物理的またはオフラインの攻撃は進化しており、スマートデバイス、クラウド利用、オンラインID、ソーシャルプラットフォームの増加により、サイバー攻撃と組み合わされることが多くなっている。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, hackers-for-hire, cyber criminals 国家に支援された行為者、雇われハッカー、サイバー犯罪者
POTENTIAL METHODS  潜在的手法 
Unauthorised access, social engineering, abuse of personal data, remote command execution, malicious activity 不正アクセス、ソーシャルエンジニアリング、個人データの悪用、リモートコマンド実行、悪意のある活動
POTENTIAL IMPACTS  潜在的影響 
Privacy breaches, outages, failures/malfunctions プライバシー侵害、機能停止、故障/誤動作
8. SKILL SHORTAGES 8. スキル不足
WHAT IF… もし...
The skill shortage leads to an increase of online job advertisements that tell attackers the technologies that each organisation is using and the approximate number of empty positions. A state-sponsored actor may use this to their advantage as a part of a larger campaign to tamper with critical infrastructure in another country. スキル不足により、攻撃者に各組織が使用している技術や、おおよその空席数を伝えるオンライン求人広告が増加する。国家の支援を受けた攻撃者が、他国の重要インフラを改ざんする大規模なキャンペーンの一環として、これを利用する可能性がある。
Lack of capacities and competencies could see cybercriminal groups target organisations with the largest skills gap and the least maturity. 能力やコンピテンシーが不足しているため、サイバー犯罪グループは、スキルのギャップが最も大きく、成熟度が最も低い組織を標的にする可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
Cybercrime actors, hackers-for-hire, state-sponsored actors サイバー犯罪行為者、雇われハッカー、国家に支援された行為者
POTENTIAL METHODS  潜在的手法 
Spear phishing attacks, social engineering スピアフィッシング攻撃、ソーシャルエンジニアリング
POTENTIAL IMPACTS  潜在的影響 
Financial damage, outages 金銭的被害、障害
9. CROSS-BORDER ICT SERVICE PROVIDERS AS A SINGLE POINT OF FAILURE  9. 単一障害点としての国境を越えたICTサービスプロバイダ 
WHAT IF… もし...
A state-sponsored actor aims to temporarily cripple a region during an active conflict by installing malware that disrupts all critical functions of the ICT provider. Without operational cities, roadways, and communication channels, the region is essentially crippled without the ability for civilians to go about their daily lives and the responsible parties limited in their ability to maintain defense monitoring systems and to collaborate to develop response options and methods for bringing the necessary systems back online.   国家に支援された行為者が、ICTプロバイダのすべての重要な機能を停止させるマルウェアをインストールすることで、活発な紛争中に一時的に地域を機能不全に陥れることを狙う。運用可能な都市、道路、コミュニケーション・チャネルがなければ、その地域は実質的に機能不全に陥り、市民は日常生活を送ることができなくなる。また、責任者は防衛監視システムを維持し、必要なシステムをオンラインに戻すための対応オプションや方法を共同で開発する能力が制限される。 
ICT sector connecting critical services such as transport, electric grids and industry that provide services across borders are likely be to targeted by techniques such as backdoors, physical manipulation, and denials of service and weaponised during a future potential conflict. 輸送、電力網、国境を越えてサービスを提供する産業など、重要なサービスをつなぐICTセクターは、バックドア、物理的操作、サービス拒否などの技術によって標的にされ、将来の潜在的紛争時に武器化される可能性が高い。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, hackers-for-hire 国家に支援されたアクター、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Fraud, theft, corruption, terrorist attack, network traffic manipulation, manipulation of hardware or software, abuse of authorisations 詐欺、窃盗、汚職、テロ攻撃、ネットワークトラフィックの操作、ハードウェアやソフトウェアの操作、権限の乱用
POTENTIAL IMPACTS  潜在的影響 
Outages, damage/loss, unavailable critical infrastructure 障害、損害/損失、重要インフラの利用不能
10. ARTIFICIAL INTELLIGENCE ABUSE 10. AIの悪用
WHAT IF… もし...
A state-sponsored actor wants to sow discord in a population before an election and manipulates the learning data of a law enforcement algorithm to target specific populations, causing widespread protests political opponents themselves by using an AI analysis of the individuals’ and violence. They are also able to deduct information about the whereabouts, health history, and voting history – the correlation of such personal data will likely only be feasible with the use of AI tools. 国家に支援された行為者が、選挙前に住民に不和の種をまきたいと考え、法執行アルゴリズムの学習データを操作して特定の集団を標的にし、個人のAI分析を利用して政治的反対者自身に広範な抗議を引き起こし、暴力を振るう。彼らはまた、居場所、健康履歴、投票履歴に関する情報を差し引くことができる。このような個人データの相関関係は、おそらくAIツールの使用でしか実現できないだろう。
Manipulation of AI algorithms and training data can be used to enhance nefarious activities such as the creation of disinformation and fake content, bias exploitation, collecting biometrics and other sensitive data, military robots and data poisoning. AIアルゴリズムや訓練データの操作は、偽情報や偽コンテンツの作成、バイアスの搾取、生体データやその他の機密データの収集、軍事ロボットやデータポイズニングといった悪質な活動を強化するために利用できる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, cyber criminals, hackers-for-hire 国家に支援された行為者、サイバー犯罪者、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Spoofing, denial of service, malicious code, unauthorised access, targeted attacks, misuse of information, man in the middle attack なりすまし、サービス妨害、悪質コード、不正アクセス、標的型攻撃、情報の悪用、中間者攻撃
POTENTIAL IMPACTS  潜在的影響 
Biased decision-making, privacy violations, foreign information manipulation and interference (FIMI) 偏った意思決定、プライバシー侵害、外国人による情報操作と干渉(FIMI)
2030 TOP THREATS CONTINUED 2030年トップレベルの脅威 続き
11. INCREASED DIGITAL CURRENCY-ENABLED CYBERCRIME 11. デジタル通貨を利用したサイバー犯罪の増加
By 2030, digital currency-enabled cybercrime will increase rapidly. Cryptocurrencies, and the broad market adoption of them, already have enabled organised crime to expand their reach. Because digital currencies will be very commonly used as an investment asset and means of payment in European markets, organised crime may be able to expand their targets. This means that cybercrime groups offering professional services (cyber-attacks) will be better funded because of an increase in the efficiency and effectiveness of their efforts.   2030年までに、デジタル通貨を利用したサイバー犯罪が急増する。暗号通貨とその広範な市場導入は、すでに組織犯罪の勢力拡大を可能にしている。デジタル通貨は欧州市場で投資資産や決済手段としてごく一般的に使用されるようになるため、組織犯罪はターゲットを拡大できる可能性がある。つまり、専門的なサービス(サイバー攻撃)を提供するサイバー犯罪グループは、その努力の効率と効果が高まるため、より良い資金を得ることができるようになる。 
12. EXPLOITATION OF E-HEALTH (AND GENETIC) DATA 12. eヘルス(および遺伝子)データの悪用
The amount of genetic and health data increases tremendously by 2030 and is in the hands of many stakeholders in the public and private sectors. Vulnerabilities in e-health devices and databases containing very sensitive and/or genetic information may be exploited or used by criminals to target individuals or by governments to control populations, e.g., using diseases and genetic diversity as a reason for discriminating against individuals. Genetic data may further be abused to aid law enforcement activities like predictive policing or to support a more regimented social credit system.   遺伝子データや健康データは2030年までに途方もなく増加し、官民の多くの利害関係者の手に渡る。非常にセンシティブかつ/または遺伝的な情報を含むe-ヘルス機器やデータベースの脆弱性が悪用されたり、犯罪者が個人を標的にしたり、政府が個人を差別する理由として病気や遺伝的多様性を利用するなど、集団をコントロールするために利用されたりする可能性がある。遺伝子データはさらに、予測的取り締まりのような法執行活動を支援するためや、より統制された社会的信用システムを支援するために悪用されるかもしれない。 
13. TAMPERING WITH DEEPFAKE VERIFICATION SOFTWARE SUPPLY CHAIN 13. ディープフェイク検証ソフトウェアのサプライチェーンの改ざん
By 2030, deepfake technology will be widely used. It may be used as a form of harassment, evidence tampering, and provoking social unrest. Although there will likely be a rapid influx of verification software that analyses videos and voice to verify the identity of individuals , the urgent market demand leads to programmers cutting corners. This software will be highly targeted by anyone wishing to use deepfakes for illegal or unethical purposes. 2030年までに、ディープフェイク技術は広く使われるようになるだろう。嫌がらせ、証拠改ざん、社会不安の誘発といった形で利用されるかもしれない。動画や音声を分析し、個人の身元を確認する検証ソフトウェアが急速に普及するだろうが、市場の需要が急増しているため、プログラマーは手抜きをするようになる。このソフトウェアは、違法または非倫理的な目的のためにディープフェイクを利用しようとする人々から強く狙われることになるだろう。
14. ATTACKS USING QUANTUM COMPUTING 14. 量子コンピューティングを利用した攻撃
In 2030 quantum computing resources will be made more widely available, allowing threat actors to use quantum computing to attack existing deployments of public key cryptography. Likewise, there is a risk that threat actors collect sensitive encrypted data now, aiming to decrypt it once quantum computing is accessible. This is especially relevant for current digital IDs that use asymmetric cryptography to authenticate. 2030年には量子コンピューティング資源がより広く利用できるようになり、脅威行為者が量子コンピューティングを利用して既存の公開鍵暗号を攻撃できるようになる。同様に、脅威行為者が暗号化された機密データを収集し、量子コンピューティングが利用可能になった時点で復号化を狙うリスクもある。これは特に、本人認証に非対称暗号を使用している現在のデジタルIDに関連している。
15. EXPLOITATION OF UNPATCHED AND OUT-OFDATE SYSTEMS WITHIN THE OVERWHELMED CROSSSECTOR TECH ECOSYSTEM  15. 圧倒的なクロスセクター技術エコシステムの中での、パッチ未適用や最新でないシステムの悪用
Everything-as-a-service leads to a multitude of tools and services that require frequent updates and maintenance by both consumers and providers. This combined with the skill shortage presents a difficult to manage surface of vulnerabilities that can be exploited by threat actors. Furthermore, the complexity of the supply chain fosters confusion on where responsibilities for security lie. For governments, this creates more backdoors for espionage while cyber-criminals can exploit the unpatched and outdated services for financial gains. This is especially true when critical infrastructure is in the hands of the private sector or when national security data is reliant on singular private entities.  あらゆるものがサービス化されることで、消費者とプロバイダの両方が頻繁な更新と保守を必要とするツールやサービスが多数存在することになる。これがスキル不足と組み合わさることで、脅威行為者に悪用される可能性のある脆弱性の管理は難しくなる。さらに、サプライチェーンの複雑さは、セキュリティ責任の所在に関する混乱を助長する。ガバナンスの政府にとっては、スパイ活動のためのバックドアが増える一方で、サイバー犯罪者はパッチの適用されていない旧式のサービスを悪用して金銭的利益を得ることができる。これは、重要インフラが民間の手にある場合や、国家セキュリティデータが特異な民間事業体に依存している場合に特に当てはまる。
16. AI DISRUPTING / ENHANCING CYBER ATTACKS 16. AIによるサイバー攻撃の撹乱・強化 
Escalation as a result of AI-based tools. Attackers will use AI-based technologies to launch attacks. In order to defend against those attacks and even to launch counter measures, there must also be defensive AI-based weapons. Behaviour of the AI in these cases is difficult to test, measure and control – if speed of response is valued.  AIベースのツールによるエスカレーション。攻撃者はAIベースのテクノロジーを使って攻撃を仕掛けるだろう。それらの攻撃を防御し、さらには対抗策を打ち出すためには、AIベースの防御兵器も存在しなければならない。このような場合のAIの挙動は、テスト、測定、制御が困難である。
17. MALWARE INSERTION TO DISRUPT FOOD PRODUCTION SUPPLY CHAINE 17. 食品製造のサプライチェーンを混乱させるマルウェアの挿入 
Due to increased automatisation and digitalization of food production, food supply chains  can be disrupted by a range of threat actors with medium-high resources. Denial of service attacks on packaging plants, for example, can prevent continued food operations; processed food manufacturing tools may be manipulated to change the compounds in the food itself. Attacks like these can lead to a food shortage, economic disruptions, and in the worst case, poisoning. 食品生産の自動化とデジタル化の進展により、食品サプライ・チェーンは、中程度の高いリソースを有するさまざまな脅威行為者によっ て混乱させられる可能性がある。例えば包装工場に対するサービス拒否攻撃は、食品の操業の継続を妨げる可能性がある。加工食品製造ツールは、食品自体の化合物を変更するために操作される可能性がある。このような攻撃は、食糧不足、経済的混乱、最悪の場合は中毒につながる可能性がある。
18. TECHNOLOGICAL INCOMPATIBILITY OF BLOCKCHAIN TECHNOLOGIES 18. ブロックチェーン技術の技術的非互換性
Until 2030, several regionally based blockchain technologies are created by different groups of governments to create an international "gold standard". This is driven by a societal lack of trust in blockchain that has accumulated over the last years.  Each technology group aims to gain a competitive advantage. This gives rise to a period of technological incompatibility of blockchain technology which leads to failures, malfunctions, data loss and the exploitation of vulnerabilities at the interfaces of the different blockchains. This creates challenges for ecosystem management and data protection, furthers distrust, and negatively affects trade and GDP growth. 2030年まで、国際的な "ゴールドスタンダード "を作るために、いくつかの地域ベースのブロックチェーン技術が異なる政府グループによって作られる。この背景には、ここ数年で蓄積されたブロックチェーンに対する社会的信頼の欠如がある。 各技術グループは競争上の優位性を獲得することを目指している。このため、ブロックチェーン技術の技術的な互換性がない時期が生じ、故障や誤動作、データ損失、異なるブロックチェーンのインターフェースにおける脆弱性の悪用につながる。これはエコシステム管理とデータ保護に課題をもたらし、不信感を助長し、貿易とGDP成長に悪影響を及ぼす。
19. DISRUPTIONS IN PUBLIC BLOCKCHAINS 19. パブリック・ブロックチェーンにおける混乱
Blockchain has been implemented in nearly all aspects of society in 2030. Unfortunately, security expertise in the area of blockchain did not advance significantly, creating a slew of vulnerabilities that may be exploited in the future. Locally unavailable blockchain technology will, for example, prevent access to voting, legal transactions, and even security systems. Another possible attack vector is exploited by partitioning the bitcoin network by hijacking IP address prefixes. This can cause, for example, duplicated spending and thus economic damage. ブロックチェーンは2030年、社会のほぼすべての側面に導入されている。残念なことに、ブロックチェーンの分野におけるセキュリティの専門知識は大きく進歩しておらず、将来悪用される可能性のある脆弱性が山ほど生まれている。ローカルで利用不可能なブロックチェーン技術は、例えば、投票、法的取引、さらにはセキュリティシステムへのアクセスを妨げるだろう。また、IPアドレスのプレフィックスをハイジャックしてビットコインネットワークを分割することで、攻撃ベクトルが悪用される可能性もある。これは、例えば重複支出を引き起こし、結果として経済的損害をもたらす可能性がある。
20. PHYSICAL IMPACT OF NATURAL / ENVIRONMENTAL DISRUPTIONS ON CRITICAL DIGITAL INFRASTRUCTURE 20. 自然/環境破壊が重要なデジタルインフラに与える物理的影響
The increased severity and frequency of environmental disasters causes several regional outages. Redundant back-up sites that maintain the availability of critical infrastructure will also be affected. 環境災害の深刻さと頻度が増すと、いくつかの地域で停電が発生する。重要インフラの可用性を維持する冗長バックアップサイトも影響を受ける。
21. MANIPULATION OF SYSTEMS NECESSARY FOR EMERGENCY RESPONSE 21. 緊急対応に必要なシステムの操作
Manipulation of sensors with connections to emergency services may overload services like ambulances, police, firefighters, etc. For example, call centres may be overloaded with inauthentic calls or fire alarms may be manipulated to injure specific individuals or to obscure emergency response teams' ability to locate the issue. Similarly, mass panics that overload emergency systems may also be provoked through the use of social media.  緊急サービスにつながるセンサーの操作は、救急車、警察、消防士などのサービスに過負荷をかける可能性がある。例えば、コールセンターが不正なコールで過負荷になったり、火災報知器が特定の個人を傷つけたり、緊急対応チームが問題の場所を特定できないように操作されたりする可能性がある。同様に、緊急システムに過負荷をかけるような大パニックも、ソーシャルメディアの利用によって引き起こされる可能性がある。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.04 ENISA 先見の明 2030年に向けたサイバーセキュリティの脅威 (2023.03.29)

 

| | Comments (0)

英国 ICO 子供を守るための情報共有のための10ステップガイド (2023.09.14)

こんにちは、丸山満彦です。

英国の情報コミッショナーオフィス (ICO) が子供を守るために情報共有が重要ということで「子供を守るための情報共有のための10ステップガイド」を公表していますね。。。

米国もK-12のセキュリティというかネットの安全性というか、問題になっていますね。中国も未成年を五段階にわけでルール作りをしようとしていますね。。。

そういえば、こういうのって日本ではどうなっているんですかね。。。

 

Information Commissioner's Office: ICO

・2023.09.14 Share information to protect children and young people at risk, urges UK Information Commissioner

Share information to protect children and young people at risk, urges UK Information Commissioner リスクにさらされている子供や若者を守るために情報を共有せよ、と英国情報コミッショナーは強く求めている。
Organisations will not get in trouble if they share information to protect children and young people at risk of serious harm, the UK Information Commissioner’s Office (ICO) has promised. 深刻な危害を受けるリスクのある子どもや若者を保護するために情報を共有しても、組織がトラブルに巻き込まれることはない、と英国情報コミッショナー事務局(ICO)は約束した。
This message comes as the ICO publishes new guidance to address concerns from organisations and frontline workers that may be scared to share information for fear of falling foul of data protection law. このメッセージは、ICOが、データ保護法に抵触することを恐れて情報を共有することを躊躇している組織や現場の労働者からの懸念に対処するための新しいガイダンスを発表したことによる。
The need to improve data sharing practices has been highlighted in recent serious case reviews in the UK where children have died or been seriously harmed through abuse or neglect. Poor information-sharing among organisations and agencies was identified as one of the factors contributing to failures to protect the children. 英国では、虐待やネグレクトによって子どもが死亡したり、深刻な被害を受けたりした最近の深刻なケースを検証する中で、データ共有の実践を改善する必要性が浮き彫りになっている。組織や機関同士の情報共有が不十分であったことが、子どもたちを保護できなかった要因のひとつであると指摘されている。
“My message to people supporting and working with children and young people is clear: if you think a child is at risk of harm, you can share information to protect them. You will not get in trouble with the ICO for trying to prevent or lessen a serious risk or threat to a child’s mental and physical wellbeing. 「子どもや若者を支援し、共に働く人々への私のメッセージは明確である: 子どもが危害のリスクにさらされていると思えば、子どもを守るために情報を共有することができる。子どもの心身の健康に対する深刻なリスクや脅威を防いだり、軽減しようとしたからといって、ICOの問題に巻き込まれることはない。」
“Data protection law helps organisations share data when required. Our guide will support senior leaders to put strong policies, systems and training in place, so their staff are encouraged and empowered to share data in an appropriate, safe and lawful way.” 「データ保護法は、組織が必要に応じてデータを共有することを支援する。我々のガイドは、シニアリーダーが強力なポリシー、システム、トレーニングを導入し、スタッフが適切で安全かつ合法的な方法でデータを共有するよう奨励され、権限を与えられるよう支援するものである。」
- John Edwards, UK Information Commissioner ・英国情報コミッショナー,ジョン・エドワーズ
Free marketing materials and a video have also been produced to support organisations to raise awareness of the benefits of sharing information to protect children and young people from harm. また、子どもや若者を危害から守るために情報を共有することの利点についての認識を高めるために、組織を支援するための無料のマーケティング資料やビデオも作成された。
The ICO will also develop a suite of guidance on sharing information to safeguard children aimed at specific sectors across the UK, recognising the different legislative and policy landscapes. ICOはまた、英国内の特定のセクターを対象とした、子どもを保護するための情報共有に関する一連のガイダンスを作成する予定である。
For more information visit ico.org.uk/datasharing. 詳細はico.org.uk/datasharingを参照のこと。
1. The Information Commissioner’s Office (ICO) is the UK’s independent regulator for data protection and information rights law, upholding information rights in the public interest, promoting openness by public bodies and data privacy for individuals. 1. 情報コミッショナー事務局(ICO)は、データ保護と情報権利法に関する英国の独立規制機関であり、公共の利益のために情報権利を支持し、公共団体による公開と個人のデータプライバシーを促進する。
2. The ICO has specific responsibilities set out in the Data Protection Act 2018 (DPA2018), the United Kingdom General Data Protection Regulation (UK GDPR), the Freedom of Information Act 2000 (FOIA), Environmental Information Regulations 2004 (EIR), Privacy and Electronic Communications Regulations 2003 (PECR) and a further five acts and regulations. 2. ICOは、データ保護法2018(DPA2018)、英国一般データ保護規則(英国GDPR)、情報公開法2000(FOIA)、環境情報規則2004(EIR)、プライバシーおよび電子コミュニケーション規則2003(PECR)、およびさらに5つの法律と規則に定められた特定の責任を負う。
3. The ICO can take action to address and change the behaviour of organisations and individuals that collect, use, and keep personal information. This includes criminal prosecution, non-criminal enforcement and audit. 3. ICOは、個人情報を収集、使用、保管する組織や個人の行動に対処し、改めるために行動を起こすことができる。これには、刑事訴追、非刑事執行、監査が含まれる。
4. To report a concern to the ICO telephone call our helpline on 0303 123 1113, or go to ico.org.uk/concerns 4. ICOのヘルプライン(0303-123-1113)に通報するか、ico.org.uk/concernsにアクセスする。

 

ガイダンスはこちら...

・2023.09.14 A 10 step guide to sharing information to safeguard children

A 10 step guide to sharing information to safeguard children 子どもを守るための情報共有のための10ステップガイド
Step 1: Be clear about how data protection can help you share information to safeguard a child. ステップ1:児童を保護するためにデータ保護がどのように情報共有に役立つかを明確にする。
Step 2: Identify your objective for sharing information, and share the information you need to, in order to safeguard a child. ステップ2:情報共有の目的を明確にし、子どもを保護するために必要な情報を共有する。
Step 3: Develop clear and secure policies and systems for sharing information. ステップ3:情報を共有するための明確で安全な方針とシステムを策定する。
Step 4: Be clear about transparency and individual rights. ステップ4:透明性と個人の権利を明確にする。
Step 5: Assess the risks and share as needed. ステップ5:リスクをアセスメントし、必要に応じて共有する。
Step 6: Enter into a data sharing agreement. ステップ6:データ共有契約を結ぶ。
Step 7: Follow the data protection principles. ステップ7:データ保護の原則に従う。
Step 8: Share information using the right lawful basis. ステップ8:正しい合法的根拠に基づいて情報を共有する。
Step 9: Share information in an emergency. ステップ9:緊急時に情報を共有する。
Step 10: Read our data sharing code of practice. ステップ10 データ共有の実践規範を読む。

 

情報共有ツール。。。

Sharing information to safeguard children: Marketing materials

・・[PDF] チラシ

20230919-181008

 

・・[PDF] ポスター

20230919-181217

・・ビデオ

 

それから

ロンドン大学の一部となった元研究大学である、ロンドン・スクール・オブ・エコノミクス・アンド・ポリティカル・サイエンス (London School of Economics and Political Science; LSE [wikipedia])からも次のような報告書がでていますね。。。

London School of Economics and Political Science; LSE

・[PDF] Children’s data and privacy online Growing up in a digital age

20230920-21808

 


 

米国のK-12セキュリティ。。。

CISA

Cybersecurity for K-12 Education

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

米国

・2023.09.08 米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05)

・2023.08.14 米国 K-12(幼稚園から高校まで)の学校のサイバーセキュリティを強化する新たな取り組みを開始 (2023.08.07)

・2023.08.02 米国 国家サイバー人材・教育戦略

2. Transform Cyber Education – address the immediate demand for a skilled cyber  workforce while also preparing learners to meet the future needs of a dynamic  technological environment:  2. サイバー教育の変革 - 熟練したサイバー労働力に対する当面の需要に対応すると同時に、ダイナミックな技術環境の将来のニーズに対応できるように学習者を準備する: 
o Build and leverage ecosystems to improve cyber education, from K-12 education,  to higher education, community colleges, and technical schools;  o K-12教育から高等教育、コミュニティカレッジ、専門学校に至るまで、サイバー教育を改善するためのエコシステムを構築し、活用する; 
o Expand competency-based cyber education;   o コンピテンシーベースのサイバー教育の拡大
o Invest in educators and improving cyber education systems; and,  o 教育者への投資とサイバー教育システムの改善 
o Make cyber education and training more affordable and accessible.  o サイバー教育とトレーニングをより手頃な価格で利用しやすくする。 

 

・2022.12.03 米国 GAO K-12(幼稚園から高校まで)の学校へのサイバー攻撃が増加している...その対応は?

・2022.10.22 米国 GAO 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。

・2021.10.12 米国 K-12サイバーセキュリティ法2021

 

英国

・2023.02.19 英国 情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行

 

中国

・2023.08.17 中国 「未成年者向けモバイルインターネットモデル構築ガイドライン(意見募集案)」 (2023.08.02)

年齢 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
区分 1 2 3 4 5
利用時間 40分以内 1時間 2時間
連続利用 未成年者が30分以上連続して携帯情報端末を使用する場合、携帯情報端末は休息通知を発すること
時間帯 22:00から翌日6:00までの間、携帯情報端末は未成年者に対してサービスを提供することができない
推奨コンテンツ 童謡、啓蒙教育などの親子連れの番組を推奨コンテンツとし、音声を重視することを推奨する 啓蒙教育、興味と識字、一般教育などの番組を推奨する 一般教育、科学の知識と普及、ライフスキル、積極的な指導を伴う娯楽コンテンツ、この年齢層の認知能力に適したニュースや情報など 一般教育、教科教育、科学の知識と普及、ライフスキル、積極的な指導による娯楽コンテンツ、この年齢層の認知能力に適したニュースや情報 この年齢層の認知能力に適した、健康で上向きの情報コンテンツを推奨する
アプリダウンロード 未成年者向けゾーンでアプリケーションをダウンロードおよびインストールするには保護者の同意が必要であり、保護者は未成年者が未成年者向けゾーン外でアプリケーションをダウンロードすることを許可する一定の免除権限を有する 未成年者向けゾーンでアプリケーションをダウンロードおよびインストールするには保護者の同意が必要であり、保護者は未成年者が未成年者向けゾーン外でアプリケーションをダウンロードすることを許可する一定の免除権限を有する

これ以外には、未成年モードではゲーム、ソーシャルネットワーク、コンテンツ、広告等についての規制がある。。。

 

インド

個人情報保護法では、児童について規定があります。。。

・2023.08.23 インド デジタル個人データ保護法成立(2023年)(2023.08.11)

(Processing of personal data of children.)  (児童の個人データの処理) 
9. (1) The Data Fiduciary shall, before processing any personal data of a child or a person with disability who has a lawful guardian obtain verifiable consent of the parent of such child or the lawful guardian, as the case may be, in such manner as may be prescribed. Explanation.—For the purpose of this sub-section, the expression “consent of the parent” includes the consent of lawful guardian, wherever applicable. 9. (1) データ受託者は、児童または正当な保護者を持つ障害者の個人データを処理する前に、当該児童の親または正当な保護者の検証可能な同意を、場合により、所定の方法で取得しなければならない。解説:本款の目的上、「親の同意」という表現には、適用法であれば、正当な保護者の同意が含まれる。
(2) A Data Fiduciary shall not undertake such processing of personal data that islikely to cause any detrimental effect on the well-being of a child. (2) データ受託者は、児童の幸福に有害な影響を及ぼす可能性のある個人データの処理 を行ってはならない。
(3) A Data Fiduciary shall not undertake tracking or behavioural monitoring of childrenor targeted advertising directed at children. (3) データ受託者は、児童の追跡または行動監視、または児童を対象とした広告を行わないものとする。
(4) The provisions of sub-sections (1) and (3) shall not be applicable to processing of personal data of a child by such classes of Data Fiduciaries or for such purposes, and subject to such conditions, as may be prescribed. (4) 第(1)項および第(3)項の規定は、データ受託者の種類によって、またはそのような目的のために、およびそのような条件に従って、児童の個人データを処理する場合には適用されないものとする。
(5) The Central Government may, if satisfied that a Data Fiduciary has ensured that itsprocessing of personal data of children is done in a manner that is verifiably safe, notify for such processing by such Data Fiduciary the age above which that Data Fiduciary shall be exempt from the applicability of all or any of the obligations under sub-sections (1) and (3) in respect of processing by that Data Fiduciary as the notification may specify. (5) 中央政府は、データ受託者が児童の個人データの処理を検証可能な安全な方法で行っていることを確認した場合、当該データ受託者による処理について、当該データ受託者による処理に関する第(1)号および第(3)号に基づく義務の全部または一部の適用が免除される年齢を、通知で指定することができる。

 

日本...

・2022.03.05 文部科学省 教育情報セキュリティポリシーに関するガイドライン

 

 

 

AIですが。。。

国連

・2023.07.21 国連 地域間犯罪司法研究所 子供のためにより安全に;捜査機関向けのAI研修が開始された

 

米国

・2023.03.14 米国商工会議所 人工知能報告書

 

日本

・2023.07.06 文部科学省 生成AIの利用について 「初等中等教育段階における生成AIの利用に関する暫定的なガイドライン」

 

| | Comments (0)

2023.09.19

米国 国防総省サイバー戦略 2023(要約)(2023.09.12)

こんにちは、丸山満彦です。

国防総省がサイバー戦略2023の要約を公表していますね。。。フルバージョンは、非公開のようです。これは、2018年の国防総省サイバー戦略に続くもので、2021年に公表された国家安全保障戦略、国家防衛戦略、国家サイバーセキュリティ戦略を国防総省に落としたものという感じですね。。。記載されている対象はあくまでもサイバー領域に限定されています。(つまり、全体の作戦の中でのサイバー領域の話だけ切り出してまとめているという感じのようです。)

防衛のサプラチェーンではないですが、米国も各国と連携して動いていることから、他の国の軍隊、防衛産業企業等がサイバー攻撃で侵入されると米国軍にも影響があるということから、パートナーのサイバー防衛能力の強化に力を入れるということのようです。

また、国家防衛戦略の優先順位が、中国、そしてロシアという順番なので、サイバー戦略でも優先順位は同じなのでしょうね。。。中国は当初はロシアにいろいろと学んでいたようですが、すでに独自にさまざまなサイバー能力を獲得、開発していることから、米国にとっては大きな脅威になってきているという認識だと思います。。。

ハント・フォワード作戦についても触れられていて、攻撃者の戦術・技術・運用 (TTP) を公表し、同盟国とともにレジリエンスを高めるということのようですね。。。

 

U.S. Department of Defence

プレスリリース

・2023.09.12 DOD Releases 2023 Cyber Strategy Summary

DOD Releases 2023 Cyber Strategy Summary 国防総省、2023年サイバー戦略の概要を発表
Today, the Department of Defense (DOD) released an unclassified summary of its classified 2023 Cyber Strategy. 本日、国防総省(DOD)は、機密扱いの2023年サイバー戦略の非機密扱いの要約を発表した。
The 2023 DOD Cyber Strategy, which DOD transmitted to Congress in May, is the baseline document for how the Department is operationalizing the priorities of the 2022 National Security Strategy, 2022 National Defense Strategy, and the 2023 National Cybersecurity Strategy. It builds upon the 2018 DOD Cyber Strategy and will set a new strategic direction for the Department. 国防総省が5月に議会に提出した2023年DODサイバー戦略は、2022年国家安全保障戦略、2022年国家防衛戦略、2023年国家サイバーセキュリティ戦略の優先事項をどのように運用するかの基本文書である。この戦略は、2018年のDODサイバー戦略に基づいており、国防総省の新たな戦略的方向性を示すものである。
"This strategy draws on lessons learned from years of conducting cyber operations and our close observation of how cyber has been used in the Russia-Ukraine war," Assistant Secretary of Defense for Space Policy John Plumb said. "It has driven home the need to work closely with our allies, partners, and industry to make sure we have the right cyber capabilities, cyber security, and cyber resilience to help deter conflict, and to fight and win if deterrence fails." 「ジョン・プラム国防次官補(宇宙政策担当)は、「この戦略は、長年にわたるサイバー作戦の実施から得られた教訓と、ロシア・ウクライナ戦争でサイバーがどのように利用されたかをつぶさに観察した結果に基づいている。「同盟国、パートナー、産業界と緊密に協力し、紛争を抑止し、抑止が失敗した場合に戦い、勝利するために、適切なサイバー能力、サイバーセキュリティ、サイバーレジリエンスを確保する必要性を痛感した。
The United States faces diverse, growing threats in cyberspace and the strategy outlines how DOD is maximizing its cyber capabilities in support of integrated deterrence and employing cyberspace operations in concert with other instruments of national power. 米国はサイバー空間における多様で増大する脅威に直面しており、この戦略では国防総省が統合抑止を支援するためにサイバー能力を最大化し、国力の他の手段と協調してサイバー空間作戦を採用する方法を概説している。
The strategy highlights DOD’s actions to invest in and ensure the defense, availability, reliability, and resilience of its cyber networks and infrastructure to support non-DOD agencies in their related roles and to protect the defense industrial base. この戦略では、国防総省のサイバーネットワークとインフラの防御、可用性、信頼性、レジリエンスを確保し、国防総省以外の機関の関連する役割を支援し、防衛産業基盤を保護するための国防総省の行動を強調している。
"Distinct from previous iterations, the strategy commits to increasing our collective cyber resilience by building the cyber capability of allies and partners." Deputy Assistant Secretary for Cyber Policy Mieke Eoyang said. "It also reflects the department’s approach to defending the homeland through the cyber domain as well as prioritizing the integration of cyber capabilities into our traditional warfighting capabilities." 「この戦略では、同盟国やパートナーのサイバー能力を強化することで、われわれの集団的なサイバー・レジリエンスを高めることにコミットしている。ミーケ・エオヤン副次官補(サイバー政策担当)は言う。「この戦略はまた、サイバー領域を通じて国土を防衛し、サイバー能力を伝統的な戦闘能力に統合することを優先するという、防衛省のアプローチを反映している
The strategy is the fourth iteration for the Department, and the first to be informed by years of significant cyberspace operations. You can read the full summary on Defense.gov. この戦略は、国防総省にとって4回目の改訂であり、長年にわたる重要なサイバー空間での作戦に基づく初めてのものである。サマリーの全文はDefense.govで読むことができる。

 

・2023.09.12 DOD's Cyber Strategy Emphasizes Building Partner Capacity

DOD's Cyber Strategy Emphasizes Building Partner Capacity 国防総省のサイバー戦略はパートナーの能力構築を重視する
In May, the Defense Department released to Congress the classified version of the 2023 Cyber Strategy. Today, the department made public an unclassified summary of that strategy which reveals a new emphasis on helping U.S. partners and allies build their own cyber capacity. 国防総省は5月、2023年サイバー戦略の機密版を議会に公表した。今日、国防総省はこの戦略の非機密版要約を公開し、米国のパートナーや同盟国が独自のサイバー能力を構築するのを支援することに新たに重点を置いていることを明らかにした。
"Distinct from previous iterations of the DOD cyber strategy, this strategy commits to building the cyber capability of global allies and partners and to increase our collective resilience against cyber attack," said Mieke Eoyang, the deputy assistant secretary of defense for cyber policy, during a briefing today at the Pentagon. "Allies and partners are a strategic advantage that no competitor can match."  国防総省のサイバー戦略担当副次官補であるミーケ・エオヤン氏は、本日国防総省で行われたブリーフィングの中で、次のように述べた。「この戦略は、これまでの国防総省のサイバー戦略とは異なり、世界の同盟国やパートナーのサイバー能力を構築し、サイバー攻撃に対する集団的レジリエンスを高めることにコミットしている。同盟国やパートナーは、いかなる競争相手も太刀打ちできない戦略的優位性である。」
According to the now publicly available summary of the 2023 Cyber Strategy, the department plans to prioritize efforts to increase the effectiveness of allies and partners in cyberspace.  現在公開されている2023年サイバー戦略の概要によると、同省はサイバー空間における同盟国やパートナーの有効性を高める努力を優先する計画だ。
Spotlight: Engineering in the DOD スポットライト:DODにおけるエンジニアリング
"In some cases, the department will work toward this goal by augmenting partner capacity, expanding partners' access to cybersecurity infrastructure and maturing their cyber workforce though combined training events and exercises," the summary reads.  「場合によっては、パートナーの能力を増強し、パートナーのサイバーセキュリティ・インフラへのアクセスを拡大し、訓練イベントや演習を組み合わせることでサイバー労働力を成熟させることで、この目標に取り組むだろう。
The summary further states the department has also committed, in some cases, to directly helping develop partner capability by enabling functions a partner needs but does not yet have.  同要約はさらに、場合によっては、パートナーが必要としているがまだ持っていない機能を可能にすることで、パートナーの能力開発を直接支援することも約束したと述べている。
"The department will enhance our relationship with our most cyber-capable allies and partners at the strategic, operational and tactical levels," the policy reads. "We will expand the total number of partners with whom we engage and integrate these efforts with the wider security cooperation enterprise."  「同省は、戦略、作戦、戦術の各レベルにおいて、最もサイバー能力の高い同盟国やパートナーとの関係を強化する。我々は、関与するパートナーの総数を拡大し、これらの取り組みをより広範な安全保障協力エンタープライズと統合する。」
More broadly, the summary reveals that the 2023 Cyber Strategy asks the department to address current and future cyber threats by pursuing four complementary lines of effort. These lines of effort include defending the nation, preparing to fight and win the nation's wars, protecting the cyber domain with allies and partners, and building enduring advantages in cyberspace.  より広義には、2023年サイバー戦略では、4つの補完的な取り組みを進めることで、現在および将来のサイバー脅威に対処することを求めている。これらの取り組みには、国家の防衛、国家の戦争に勝利するための準備、同盟国やパートナーとのサイバー領域の保護、サイバー空間における永続的な優位性の構築が含まれる。
"[This] strategy builds upon the direction set by the 2018 DOD Cyber Strategy and is informed by years of real-world experience of significant DOD cyberspace operations," Eoyang said. "It's the department's fourth cyber strategy and represents the secretary's vision for operationalizing the 2022 National Defense Strategy in cyberspace."  「この戦略は、2018年国防総省サイバー戦略によって設定された方向性の上に構築され、国防総省のサイバー空間における重要な活動に関する長年の実体験に基づくものである。これは国防総省にとって4番目のサイバー戦略であり、2022年国防戦略をサイバー空間で運用するための長官のビジョンを表している。」
Spotlight: National Defense Strategy スポットライト:国家防衛戦略
Like the National Defense Strategy, DOD's cyber strategy identifies China as a pacing threat and Russia as an acute threat, Eoyang said.  国防戦略と同様、国防総省のサイバー戦略は、中国をペースの脅威として、ロシアを急性の脅威として識別している。
She also said that the strategy has been informed by recent activities in Ukraine, following the illegal Russian invasion there.  また、この戦略は、ウクライナにおけるロシアの不法侵攻後の最近の活動からも情報を得ているという。
"I think prior to this conflict, there was a sense that cyber would have a much more decisive impact in warfare than what we experienced," she said. "What this conflict has shown us is the importance of integrated cyber capabilities in and alongside other warfighting capabilities. And that is consistent with the approach in the NDS on integrated deterrence and is an important lesson for us to think about -- that cyber is a capability that is best used in concert with those others and may be of limited utility when used all by itself."  彼女はまた、次のように述べた。「この紛争の前には、サイバー戦は我々が経験したものよりもはるかに決定的な影響を与えるという感覚があったと思う。この紛争が私たちに示したのは、他の戦闘能力とともに、サイバー能力を統合することの重要性である。そしてそれは、統合抑止に関するNDSのアプローチと一致するものであり、私たちが考えるべき重要な教訓である。"サイバー能力は、他の能力と協調して使用するのが最善であり、単独で使用した場合の有用性は限定的かもしれない。」
According to the strategy, cyber capabilities are most effective when used in concert with other instruments of national power.  同戦略によれば、サイバー能力は、他の国力の手段と協調して使用されるときに最も効果的である。
Spotlight: Science & Tech スポットライト:科学技術
"In this way, cyberspace operations represent an indispensable element of U.S. and allied military strength and form a core component of integrated deterrence," the strategy reads. 「このように、サイバー空間での作戦は、米国と同盟国の軍事力にとって不可欠な要素であり、統合抑止の中核をなすものである。」

 

 

・[PDF]

20230918-145737

 

目次的...

INTRODUCTION  序文 
NATIONAL DEFENSE STRATEGY PRIORITIES  国家防衛戦略の優先事項 
A CONTESTED CYBERSPACE  争いの絶えないサイバー空間 
People's Republic of China  中華人民共和国 
Russia  ロシア 
North Korea, Iran, and Violent Extremist Organizations  北朝鮮、イラン、暴力的過激派組織 
Transnational Criminal Organizations  国際犯罪組織 
DEFEND THE NATION  国家を守る 
Generate Insights about Cyber Threats  サイバー脅威に関する洞察の創出 
Disrupt and Degrade Malicious Cyber Actors  悪意のあるサイバー行為者を混乱させ、劣化させる。
Enable Defense of US. Critical Infrastructure  米国の重要インフラの防衛を可能にする。
DOD AUTHORITIES AND HOMELAND DEFENSE  国防総省の権限と国土防衛 
Protect the Defense Industrial Base  防衛産業基盤の防御 
DIB CYBERSECURITY  DIBサイバーセキュリティ 
PREPARE TO FIGHT AND WIN THE NATION'S WARS  国家の戦争を戦い勝利する準備をする 
Advance Joint Force Objectives  統合軍の目標を推進する 
Defend the DODIN  DODINを守る 
DEFINING THE DODIN  DODINの定義 
Build Cyber Resilience in the Joint Force  統合軍におけるサイバー・レジリエンスの構築 
Support Joint Force Plans and Operations  統合軍の計画と作戦を支援する 
PROTECT THE CYBER DOMAIN WITH ALLIES AND PARTNERS  同盟国やパートナーとともにサイバー領域を守る。
Build Cyber Capacity and Develop Capability in Allies and Partners  同盟国およびパートナーにおけるサイバー能力の構築と能力開発 
Expand Avenues of Cyber Cooperation  サイバー協力の手段を拡大する。
Continue Hunt Forward Operations and Bilateral Technical Collaboration  ハント・フォワード・オペレーションと二国間技術協力の継続 
Reinforce Norms of Responsible Behavior in Cyberspace  サイバー空間における責任ある行動の規範を強化する。
BUILD ENDURING ADVANTAGES IN CYBERSPACE  サイバー空間における永続的な優位性を構築する 
Invest in the Cyber Workforce  サイバー人材への投資 
Prioritize Intelligence Support for Cyber Operations  サイバー作戦のための情報支援を優先する。
Develop and Implement New Cyber Capabilities  新たなサイバー能力の開発と導入 
Foster Cyber Awareness  サイバー意識の醸成 
CONCLUSION  結論 

 

仮対訳は関連リンク下につけています。。。

 

 


関連リンク

● まるちゃんの情報セキュリティ気まぐれ日記

国家安全保障戦略

・2022.10.14 米国 国家安全保障戦略

ちなみにロシア...

・2021.07.04 ロシア連邦大統領令第400号「ロシア連邦の国家安全保障戦略」を公表

 

国防総省 国家防衛戦略他

・2022.10.29 米国 国家防衛戦略

その下の計画

・2023.08.09 米国 国防総省 サイバー従事能力戦略実施計画

 

国家情報(インテリジェンス)戦略

・2023.08.11 米国 国家情報戦略 2023

 

国家サイバーセキュリティ戦略

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

人材に関して。。。

・2023.08.02 米国 国家サイバー人材・教育戦略

予算優先事項、実行計画。。。

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

 

CISAのサイバーセキュリティ戦略

・2023.08.06 米国 CISA サイバーセキュリティ戦略 FY2024-2026

 


(2023.09.30 追記)

これ参考になります。。。

milterm

・2023.09.29 「サイバー現実主義(cyber realism)」へようこそ:2023年国防省サイバー戦略を解析する (warontherocks.com)

 

 


仮対訳

↓↓↓↓↓





Continue reading "米国 国防総省サイバー戦略 2023(要約)(2023.09.12)"

| | Comments (0)

2023.09.18

米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

こんにちは、丸山満彦です。

CISAがオープンソース・ソフトウェア・セキュリティ・ロードマップを公開していますね。。。

優先事項は、、、

(1) オープンソースソフトウェアのセキュリティ支援におけるCISAの役割の確立

(2) オープンソースソフトウェアの使用状況とリスクの可視化の推進

(3) 連邦政府に対するリスクの低減

(4) オープンソースエコシステムの強化

 

CISA

・2023.09.12 CISA Open Source Software Security Roadmap

 

CISA Open Source Software Security Roadmap CISAオープンソース・ソフトウェア・セキュリティ・ロードマップ
CISA’s Open Source Software Security Roadmap lays out CISA’s path forward to help ensure a secure open source software ecosystem.  CISAのオープンソース・ソフトウェア・セキュリティ・ロードマップは、安全なオープンソース・ソフトウェアのエコシステムを確保するためのCISAの進むべき道を示している。
Open source software is software that anyone can access, modify, and distribute, which can lead to greater collaboration and higher-quality code. At the same time, vulnerabilities like Log4shell have illustrated the downstream impact for flaws in widely used open source code.  オープンソースソフトウェアは、誰もがアクセスし、変更し、配布できるソフトウェアであり、より大きなコラボレーションとより高い品質のコードをもたらすことができる。同時に、Log4shellのような脆弱性は、広く使われているオープンソース・コードの欠陥が下流に与える影響を示している。
The roadmap lays out four key priorities to help secure the open source software ecosystem: (1) establishing CISA’s role in supporting the security of open source software, (2) driving visibility into open source software usage and risks, (3) reducing risks to the federal government, and (4) hardening the open source ecosystem.  ロードマップは、オープンソースソフトウェアのエコシステムの安全確保を支援するための4つの重要な優先事項を示している。(1) オープンソースソフトウェアのセキュリティ支援におけるCISAの役割の確立、(2) オープンソースソフトウェアの使用状況とリスクの可視化の推進、(3) 連邦政府に対するリスクの低減、(4) オープンソースエコシステムの強化である。

 

・[PDF

20230918-53634

 

 

Overview  概要 
The federal government, critical infrastructure, and state, local, tribal, and territorial (SLTT) governments greatly depend upon open source software (OSS). OSS is software for which the humanreadable source code[1] is made available to the public for use, study, re-use, modification, enhancement, and re-distribution. OSS is part of the foundation of software used across critical infrastructure, supporting every single critical infrastructure sector and every National Critical Function: one study[2] found that 96% of studied codebases across various sectors contain open source code, and 76% of code in studied codebases was open source. Therefore, to fulfill CISA’s mission of understanding, managing, and reducing risks to the federal government and critical infrastructure, we must understand and protect the open source software that we rely upon. 連邦政府、重要インフラ、州・地方・部族・準州(SLTT)政府は、オープンソースソフトウェア(OSS)に大きく依存している。OSSとは、人間が読み取り可能なソースコード[1]が、利用、研究、再利用、修正、拡張、再配布のために一般に公開されているソフトウェアのことである。ある調査[2]によると、さまざまな部門で調査されたコードベースの96%がオープンソースコードを含み、調査されたコードベースのコードの76%がオープンソースであった。したがって、連邦政府と重要インフラに対するリスクを理解し、管理し、削減するというCISAの使命を果たすためには、われわれが依存しているオープンソース・ソフトウェアを理解し、保護しなければならない。
As a public good, open-source software is supported by diverse and wide-ranging communities—which are composed of individual maintainers, non-profit software foundations, and corporate stewards. CISA must integrate into and support these communities, with a particular focus on the critical OSS components that the federal government and critical infrastructure systems rely upon.  公共財であるオープンソースソフトウェアは、個人のメンテナ、非営利ソフトウェア財団、企業のスチュワードで構成される多様で広範なコミュニティによって支えられている。CISAは、連邦政府と重要インフラ・システムが依存する重要なOSSコンポーネントに特に重点を置いて、これらのコミュニティに統合し、支援しなければならない。
CISA recognizes the immense benefits of open source software, which enables software developers to work at an accelerated pace and fosters significant innovation and collaboration. With these benefits in mind, this roadmap lays out how CISA will help enable the secure usage and development of OSS, both within and outside the federal government. As detailed below, the roadmap centers on four key goals: 1) establishing CISA’s role in supporting the security of OSS, 2) understanding the prevalence of key open source dependencies, 3) reducing risks to the federal government, and 4) hardening the broader OSS ecosystem.  CISAは、オープンソースソフトウェアがソフトウェア開発者に加速度的なペースでの作業を可能にし、多大なイノベーションとコラボレーションを促進するという、計り知れないメリットを認識している。こうした利点を念頭に、このロードマップは、連邦政府内外でOSSの安全な利用と開発を可能にするためにCISAがどのような支援を行うかを示している。以下に詳述するように、ロードマップは4つの重要な目標を中心に据えている: 1)OSSのセキュリティ支援におけるCISAの役割の確立、2)主要なオープンソース依存関係の普及状況の把握、3)連邦政府に対するリスクの低減、4)広範なOSSエコシステムの強化である。
Vision  ビジョン 
Aligning with the National Cybersecurity Strategy’s goal of a “more resilient, equitable, and defensible cyberspace,” CISA envisions a prosperous future where secure, resilient technology is the backbone of our world. Open source software, fostering significant growth as part of the foundation on which technology is built, is key to this future. We envision a world in which every critical OSS project is not only secure but sustainable and resilient, supported by a healthy, diverse, and vibrant community. In this world, OSS developers are empowered to make their software as secure as possible. Further, the incredible growth fostered by OSS is coupled with action from those who capitalize on OSS to be good stewards of the projects they depend on. In this world, OSS consumers responsibly use it, contributing back to the extent they can to the community and code they depend on. Similarly, consumers and integrators of these OSS projects are given the tools to ensure the packages they use are secure and well curated. 国家サイバーセキュリティ戦略の目標である「よりレジリエンスに優れ、公平で、防衛可能なサイバー空間」に沿って、CISAは、安全でレジリエンスに優れた技術が私たちの世界を支える豊かな未来を構想している。オープンソースソフトウェアは、技術が構築される基盤の一部として大きな成長を促進し、この未来への鍵となる。私たちは、すべての重要なOSSプロジェクトが安全であるだけでなく、持続可能でレジリエンスに富み、健全で多様性に富み、活気に満ちたコミュニティに支えられている世界を思い描いている。この世界では、OSS開発者は自分たちのソフトウェアを可能な限り安全にする力を与えられる。さらに、OSSによって育まれた驚異的な成長は、OSSを活用する人々が、彼らが依存するプロジェクトの良きスチュワードであるための行動と結びついている。この世界では、OSSの消費者は責任を持ってOSSを利用し、彼らが依存するコミュニティやコードにできる範囲で貢献する。同様に、OSSプロジェクトの消費者とインテグレーターは、自分たちが使うパッケージが安全で、よく管理されていることを保証するためのツールを与えられる。
To achieve such a future, the federal government must take strong action towards maintaining and securing OSS infrastructure as reflected in the National Cybersecurity Strategy. CISA, given its responsibilities to defend and secure federal government information systems and coordinate a national effort to secure and protect against critical infrastructure risks, has a key role to play in OSS security, grounded in partnership with federal agencies, OSS consumers, and the OSS community.  そのような未来を実現するために、連邦政府は国家サイバーセキュリティ戦略に反映されているように、OSSインフラの維持と安全確保に向けて強力な行動を取らなければならない。CISAは、連邦政府の情報システムを防御・安全化し、重要インフラのリスクから安全かつ保護するための国家的取り組みを調整するガバナンスを持つことから、連邦国家安全保障局、OSS消費者、OSSコミュニティとのパートナーシップに基づき、OSSセキュリティで果たすべき重要な役割を担っている。
Threat Model  脅威モデル 
In order to secure OSS, we must understand the relevant attacks and vulnerabilities. CISA is broadly concerned about two distinct classes of OSS vulnerabilities and attacks:  OSSのセキュリティを確保するためには、関連する攻撃と脆弱性を理解しなければならない。CISAは、OSSの脆弱性と攻撃について、大きく2つに分類して懸念している: 
1.     The cascading effects of vulnerabilities in widely used OSS.  1.     広く使われているOSSの脆弱性の連鎖的影響。
As evidenced by the Log4Shell vulnerability, the ubiquity of OSS can cause vulnerabilities to have particularly widespread consequences. Given the prevalence of OSS across the federal government and critical infrastructure, any widespread vulnerability represents risk that CISA should seek to reduce. Similar to the potentially large impact of vulnerabilities in widely used closed-source software, the widespread and distributed nature of OSS can magnify the impact of OSS vulnerabilities. Hence, CISA should contribute to reducing the prevalence of exploitable vulnerabilities and aiding in response when vulnerabilities occur.  Log4Shellの脆弱性で証明されているように、OSSのユビキタス性は脆弱性が特に広範囲に影響を及ぼす原因となる。連邦政府と重要インフラにOSSが普及していることを考えると、脆弱性が広範囲に及ぶことは、CISAが削減を目指すべきリスクに相当する。広く使用されているクローズド・ソース・ソフトウェアの脆弱性が潜在的に大きな影響を及ぼすのと同様に、OSSの広範で分散した性質は、OSSの脆弱性の影響を拡大する可能性がある。したがって、CISAは、悪用可能な脆弱性の蔓延を減らし、脆弱性が発生した場合の対応を支援することに貢献すべきである。
2.     Supply-chain attacks on open source repositories leading to compromise of downstream software.  2.     オープンソース・リポジトリに対するサプライチェーン攻撃は、ダウンストリームソフトウェアの侵害につながる。
The second category of risks is the malicious compromise of OSS components, leading to downstream compromises. Examples include an attacker compromising a developer’s account and committing malicious code, or a developer intentionally inserting a backdoor into their package. Real-world examples include embedding cryptominers[3] in open source packages, modifying source code with protestware[4] that deletes a user’s files, and employing typosquatting[5] attacks that take advantage of developer errors.[6]   リスクの第二のカテゴリーは、OSS コンポーネントの悪意ある侵害であり、下流の侵害につながる。例としては、攻撃者が開発者のアカウントを侵害し、悪意のあるコードを実行することや、開発者が意図的にパッケージにバックドアを挿入することなどがある。実際の例としては、オープンソースパッケージにクリプトマイナー[3]を埋め込む、ユーザのファイルを削除するプロテストウェア[4]でソースコードを変更する、開発者のミスにつけ込むタイポスクワッティング[5]攻撃を採用する、などがある[6]。 
Strategic Alignment  戦略的整合性 
This OSS roadmap aligns to the National Cybersecurity Strategy, including Strategic Objective 4.1, which states that the federal government will “develop and drive adoption of solutions that will improve the security of the Internet ecosystem,” and Strategic Objective 3.3, which states that the federal government will collaborate with the private sector and OSS community to “invest in the development of secure software, including memory-safe languages.” CISA’s work in this roadmap is in fulfillment of Initiative 4.1.2 of the National Cybersecurity Strategy Implementation Plan, to “Promote open-source software security and the adoption of memory safe programming languages” via the Open Source Software Security Initiative (OS3I). このOSSロードマップは、連邦政府が「インターネットのエコシステムのセキュリティを向上させるソリューションを開発し、採用を推進する」とする戦略目標4.1や、連邦政府が民間セクターやOSSコミュニティと協力して「メモリセーフ言語を含む安全なソフトウェアの開発に投資する」とする戦略目標3.3を含む国家サイバーセキュリティ戦略と整合している。このロードマップにおけるCISAの活動は、国家サイバーセキュリティ戦略実施計画のイニシアティブ4.1.2を実現するものであり、オープンソースソフトウェアセキュリティイニシアティブ(OS3I)を通じて「オープンソースソフトウェアセキュリティとメモリ安全プログラミング言語の採用を促進する」ものである。
This roadmap also advances Objective 1.4 of the CISA Strategic Plan for 2023-2025, which aims to achieve a cyberspace ecosystem that is secure-by-design and secure-by-default, and helps achieve  priority areas addressed through the OS3I interagency working group convened by the Office of the National Cyber Director, which include memory safety, Common Vulnerabilities and Exposures (CVE) reform, and education.
 
また、このロードマップは、2023-2025年のCISA戦略計画の目標1.4を推進するものであり、セキュア・バイ・デザインおよびセキュア・バイ・デフォルトのサイバースペース・エコシステムを実現することを目指すものであり、国家サイバー長官室が招集したOS3I省庁間作業部会で取り上げられた優先分野(メモリ安全性、共通脆弱性・エクスポージャー(CVE)改革、教育など)の達成を支援するものである。 
Lastly, this roadmap aims to align, where possible, to existing OSS community efforts. Objective 1.1 below specifically speaks to integrating into community initiatives to further align CISA and OSS community work.  最後に、このロードマップは、可能な限り、既存のOSSコミュニティの取り組みと整合させることを目指している。以下の目標 1.1 では、CISA と OSS コミュニティの活動をさらに連携させるため、コミュニティ・イニシアティ ブへの統合について特に言及している。
FY24-26 Open Source Goals & Objectives  FY24-26 オープンソースの目標と目標 
Goal 1: Establish CISA’s Role in Supporting the Security of OSS  目標1: OSSのセキュリティ支援におけるCISAの役割を確立する。
It is crucial that CISA matures its working relationship with the OSS community to build a secure and resilient open source ecosystem. In line with CISA’s mission, this means identifying and reducing risks to the federal government and critical infrastructure and contributing back to help improve the security of the broader OSS ecosystem.  CISAがOSSコミュニティとの協力関係を成熟させ、安全でレジリエンスに優れたオープンソースのエコシステムを構築することは極めて重要である。CISAの使命に沿えば、これは連邦政府と重要インフラに対するリスクを特定して削減し、より広範なOSSエコシステムのセキュリティ改善を支援するために貢献することを意味する。
To achieve this, CISA must have the capabilities to understand the OSS ecosystem and collaborate with the OSS community. CISA recognizes that the open source community is not starting from scratch and already has many initiatives underway focused on security. CISA strives to align with and amplify these initiatives with the goal of channeling the federal government’s authorities and capabilities to foster greater OSS security.  これを達成するために、CISAはOSSエコシステムを理解し、OSSコミュニティと協力する能力を持たなければならない。CISAは、オープンソースコミュニティがゼロから出発しているわけではなく、すでにセキュリティに焦点を当てた多くの取り組みが進行中であることを認識している。CISAは、連邦政府の権限と能力を活用し、OSSセキュリティの向上を促進することを目標に、こうした取り組みと連携し、これを増幅するよう努める。
Objective 1.1. Partner With OSS Communities  目標 1.1. OSSコミュニティと提携する 
CISA will show up as an OSS community member, working hand-in-hand with OSS communities. Similar to how CISA has formed partnership groups with companies across various sectors, CISA will establish partnerships with OSS communities. CISA will establish a real-time collaboration channel with OSS community members (including OSS foundations and community organizations, code hosting services, and package managers). This channel will allow the OSS community members to provide individual input on actions CISA is taking, individually participate in roadmap planning sessions, and allow CISA to identify additional ways to support OSS community efforts. CISA will also contribute to broader community efforts that work to strengthen the security and resiliency of the OSS ecosystem by participating in relevant community working groups on OSS security.  CISAはOSSコミュニティの一員として、OSSコミュニティと手を携えて活動する。CISAが様々な分野の企業とパートナーシップ・グループを形成してきたのと同様に、CISAはOSSコミュニティとのパートナーシップを確立する。CISAは、OSSコミュニティ・メンバー(OSS財団やコミュニティ組織、コード・ホスティング・サービス、パッケージ・マネージャーを含む)とのリアルタイム・コラボレーション・チャネルを確立する。このチャネルにより、OSSコミュニティ・メンバーはCISAが取っている行動について個別に意見を提供し、ロードマップ計画セッションに個別に参加し、CISAがOSSコミュニティの取り組みを支援する追加的な方法を特定できるようになる。CISAはまた、OSSセキュリティに関する関連コミュニティのワーキンググループに参加することで、OSSエコシステムのセキュリティとレジリエンスの強化に取り組む、より広範なコミュニティの取り組みに貢献する。
In addition, CISA will continue its ongoing collaborative planning effort with industry, OSS communities, and interagency partners to better understand the role OSS components currently play in industrial control system (ICS) products and develop a plan to improve those components’ maintenance and security.  さらに、CISAは、産業制御システム(ICS)製品においてOSSコンポーネントが現在果たしている役割をよりよく理解し、これらのコンポーネントの保守とセキュリティを改善する計画を策定するために、産業界、OSSコミュニティ、省庁間パートナーとの現在進行中の共同計画策定作業を継続する。
Objective 1.2. Encourage Collective Action From Centralized OSS Entities  目標1.2. 集中型OSS事業体の集団行動を奨励する。
Recognizing that centralized OSS entities such as package managers and code hosting services can help drive systemic security improvements, CISA will encourage collective action from and greater accountability by these entities. CISA will participate in relevant working groups on securing these centralized entities, with the goal of working collaboratively to develop security principles for package managers and other centralized platforms in the OSS ecosystem.  パッケージマネージャやコードホスティングサービスなどの中央集権的な OSS 事業体が、体系的なセキュリ ティ改善の推進に役立つことを認識し、CISA は、これらの事業体による集団的行動と説明責任 の強化を奨励する。CISA は、パッケージマネージャや OSS エコシステム内の他の集中型プラットフォー ムのセキュリティ原則を共同で策定することを目標に、これらの集中型事業体のセキュリ ティ確保に関する関連作業部会に参加する。
Objective 1.3. Expand Engagement and Collaboration With International Partners   目標 1.3. 国際的パートナーとの関与と協力の拡大  
OSS is a public good, providing benefits for governments and private sector organizations around the world. This makes it crucial for the federal government to engage with its international partners and allies to bolster OSS security and resilience. In coordination with interagency partners, CISA will conduct engagements with international partners and allies and identify opportunities to collaborate on areas of shared interest, including the adoption of practices laid out in this roadmap.  OSSは公共財であり、世界中の政府や民間組織に利益をプロバイダとして提供している。このため連邦政府は、OSS のセキュリティとレジリエンスを強化するために、国際的なパートナーや同盟国と連携することが極めて重要である。省庁間のパートナーと連携して、CISA は国際的なパートナーや同盟国との連携を実施し、このロードマップに記載されたプラクティスの採用を含め、共通の関心分野で協力する機会を特定する。
Objective 1.4. Establish and Organize CISA’s OSS Work  目標1.4. CISAのOSS業務の確立と組織化 
CISA must be organizationally structured to execute on the open source efforts described in this roadmap. To that end, CISA will increase our breadth and depth of OSS security expertise and will establish an internal CISA Open Source Software Security Working Group to coordinate CISA’s work on OSS security.  CISAは、このロードマップに記載されているオープンソースへの取り組みを実行するために、組織的に構造化されなければならない。そのため、CISA は、OSS セキュリティの専門知識の幅と深さを拡大し、CISA 内部にオープンソースソフトウェア・セキュリティ作業部会を設置して、OSS セキュリティに関する CISA の作業を調整する。
Goal 2: Drive Visibility into OSS Usage and Risks  目標2:OSSの利用状況とリスクの可視化を推進する。
To understand where CISA can best support the security of the OSS ecosystem, we must understand where the greatest dependencies lie for the federal government and critical infrastructure. To that end, CISA will identify the OSS libraries that are most used to support critical functions across the federal government and critical infrastructure. CISA will utilize this information to understand where the greatest risks lie and prioritize activities to mitigate and reduce these risks.  CISAがOSSエコシステムのセキュリティを最も支援できる分野を理解するためには、連邦政府と重要インフラにとって最も依存度の高い分野を理解する必要がある。そのため、CISAは連邦政府と重要インフラ全体の重要機能をサポートするために最も使用されているOSSライブラリを識別する。CISAはこの情報を活用して、最大のリスクがどこにあるかを理解し、これらのリスクを低減・軽減するための活動に優先順位を付ける。
Objective 2.1. Understand OSS Software Prevalence  目的2.1. OSSソフトウェアの普及状況を把握する。
CISA will develop a capability for assessing OSS software prevalence in the federal government and will engage federal and critical infrastructure partners to improve CISA’s awareness of OSS software prevalence in critical infrastructure. For the federal government, this will involve aggregating readily available data on software prevalence from existing data sources, such as CISA’s Continuous Diagnostics and Mitigation (CDM) program. For areas where data is not as readily available, such as operational technology (OT) and ICS, CISA will work to advance our capability for assessing software prevalence and underlying OSS components. The goal is to understand all software prevalence including prevalence of software that is end-of-life, end-of-support, various versions, OSS, as well as unique software that may require additional resources to secure and maintain. For critical infrastructure, CISA will work with Sector Risk Management Agencies and critical infrastructure owners and operators to identify opportunities for voluntary sharing of data.
CISAは、連邦政府におけるOSSソフトウェアの普及状況を評価する能力を開発し、連邦政府および重要インフラのパートナーを関与させて、重要インフラにおけるOSSソフトウェアの普及状況に関するCISAの認識を向上させる。連邦政府については、CISAの継続的診断・低減(CDM)プログラムなどの既存のデータソースから、ソフトウェアの普及状況に関する入手しやすいデータを集約する。運用技術(OT)や ICS など、データが入手しにくい分野については、CISA は、ソフトウェアの普及状況や OSS コンポーネントの基礎を評価する能力の向上に取り組む。その目標は、使用期限切れ、サポート終了、各種バージョン、OSSのほか、安全確保と保守に追加リソースを必要とする可能性のある固有のソフトウェアの普及を含む、すべてのソフトウェアの普及状況を把握することである。重要インフラについては、CISAは、セクター・リスクマネジメント機関および重要インフラ所有者・運営者と協力して、自主的なデータ共有の機会を特定する。
Objective 2.2. Develop a Framework for OSS Risk Prioritization  目標2.2. OSSリスク優先順位付けの枠組みを開発する。
CISA will develop a framework to conduct a risk prioritization of OSS components discovered in Objective 2.1. The framework will recommend importance criteria and prioritization factors, such as an OSS component’s level of usage, level of maintenance, build process security, and code security properties—like memory safety and. The framework will leverage existing work where possible and will be released to the public.  CISAは、目的2.1で発見されたOSS構成要素のリスク優先順位付けを実施するための枠組みを開発する。このフレームワークでは、OSSコンポーネントの使用レベル、保守レベル、ビルドプロセスのセキュリティ、コードセキュリティ特性(メモリ安全性など)などの重要度基準や優先順位付け要因を推奨する。フレームワークは、可能な限り既存の作業を活用し、一般に公開する。
The framework will identify various categorizations of OSS components, such as components that:  このフレームワークは、OSSコンポーネントの様々な分類を識別する: 
•       Due to their level of usage and existing support, the federal government should directly support.   ・その利用レベルと既存のサポートにより,連邦政府は直接サポートすべきである。
•       Are malicious, which the federal government should stop using; or   ・悪質であり,連邦政府は使用を中止すべきである。
•       Are well supported and the government may continue using.   ・十分にサポートされており,政府が使用を継続してもよい。
Objective 2.3. Conduct Risk-Informed Prioritization of OSS Projects in Federal Government and Critical Infrastructure  目的2.3. 連邦政府および重要インフラにおけるOSSプロジェクトのリスク情報に基づく優先順位付けを実施する。
CISA will apply the framework described above to the repositories identified in 2.1, generating a riskinformed prioritization of OSS dependencies in the federal government and, to the degree possible, critical infrastructure. This prioritization may group OSS dependencies into various categories, as described in Objective 2.2. CISA will use this list to ensure that the federal government’s OSS efforts focus on the most critical and relevant OSS dependencies. Additionally, CISA will leverage this prevalence list to further understand vulnerabilities present in OSS used by the federal government and critical infrastructure.  CISAは、上記のフレームワークを2.1で特定したリポジトリに適用し、連邦政府および可能な限り重要インフラにおけるOSS依存関係のリスク情報に基づく優先順位付けを行う。この優先順位付けは、目的2.2で説明するように、OSS依存性を様々なカテゴリーに分類することができる。CISAはこのリストを使用して、連邦政府のOSSへの取り組みが最も重要で関連性の高いOSS依存関係に集中するようにする。さらに、CISAはこの普及リストを活用して、連邦政府と重要インフラが使用するOSSに存在する脆弱性をさらに理解する。
Objective 2.4. Understand Threats to Critical OSS Dependencies  目標2.4. 重要なOSS依存性に対する脅威を理解する。
CISA will develop a process to continuously assess threats to critical OSS dependencies, including, when available, the prioritized list of OSS dependencies generated in 2.3. When relevant, CISA will publish alerts about targeting of key OSS dependencies.  CISAは、重要なOSS依存性に対する脅威を継続的に評価するプロセスを開発し、利用可能な場合は、2.3で作成したOSS依存性の優先順位付けリストを含む。関連する場合、CISAは、重要なOSS依存関係を標的とした警告を公表する。
Goal 3: Reduce Risks to the Federal Government  目標3:連邦政府に対するリスクの削減 
This goal focuses specifically on securing the federal government’s usage of OSS. Similar to companies that responsibly engage with OSS, the federal government must establish processes to manage our usage of OSS and means of contributing back to the OSS we depend upon.  この目標は、特に連邦政府のOSS利用の安全確保に焦点を当てる。責任を持ってOSSに関与する企業と同様に、連邦政府もOSSの利用を管理するプロセスと、依存するOSSに貢献する手段を確立しなければならない。
Objective 3.1. Evaluate Solutions to Aid in Secure Usage of OSS  目標3.1. OSSの安全な利用を支援するソリューションを評価する。
CISA will evaluate the feasibility and efficacy of offering future capabilities or services to aid federal agencies in addressing gaps around managing their OSS. Such services may include tools that integrate into the continuous integration and continuous delivery (CI/CD) process to assess OSS risks (e.g., flagging vulnerable/outdated dependencies) and tools that facilitate support back to open source dependencies.  CISAは、連邦機関がOSSを管理する際のギャップに対処するのを支援する機能またはサービスを将来的に提供することの実現可能性と有効性を評価する。そのようなサービスには、継続的インテグレーションおよび継続的デリバリー(CI/CD)プロセスに統合してOSSのリスクを評価するツール(脆弱性/期限切れの依存関係にフラグを立てるなど)や、オープンソースの依存関係に戻ってサポートを促進するツールが含まれる可能性がある。
Objective 3.2. Develop Open Source Program Office Guidance For Federal Agencies.  目標 3.2. 連邦政府機関向けオープンソース・プログラム・オフィス・ガイダンスを策定する。
Open source program offices (OSPOs)[7] have emerged in industry, civil society, and academia as a way to manage an organization’s OSS operations, including supporting the responsible usage of OSS and facilitating contributions back to OSS. CISA will develop open source program office (OSPO) best practice guidance for federal agencies and other entities who wish to implement OSPOs. CISA will support federal agencies who are interested in piloting OSPOs. オープンソース・プログラム・オフィス(OSPO)[7]は、OSS の責任ある利用を支援し、OSS への貢献を促進することを含め、組織の OSS 運用を管理する方法として、産業界、市民社会、および学界で出現している。CISAは、OSPOの導入を希望する連邦政府機関やその他の事業体のために、オープンソースプログラムオフィス(OSPO)のベストプラクティス・ガイダンスを策定する。CISAは、OSPOの試験的導入に関心を持つ連邦政府機関を支援する。
Objective 3.3. Drive Prioritization of Federal Actions in OSS Security  目標3.3. OSSセキュリティにおける連邦政府の行動の優先順位付けを推進する。
The Office of the National Cyber Director (ONCD) established the OS3I with the goal of advancing government policy and resources to foster greater OSS security. Working with ONCD and government partners, CISA will continue to contribute to OS3I to identify policies and resources that can be utilized to bolster OSS security and resilience.  国家サイバー長官室(ONCD)は、OSSセキュリティの向上を促進するために政府の政策とリソースを推進する目的でOS3Iを設立した。CISAは、ONCDおよび政府パートナーと協力して、OSSのセキュリティとレジリエンスを強化するために利用できる政策とリソースを特定するためにOS3Iに貢献し続ける。
CISA, through OS3I, will drive prioritization of federal actions that promote security and resilience within the OSS ecosystem. CISA, ONCD, the National Science Foundation (NSF), the Defense Advanced Research Projects Agency (DARPA), and the Office of Management and Budget (OMB) initiated this effort by publishing a Request for Information (RFI) on open-source software security and memory safe programming languages. Following the RFI, the authoring agencies will work to publish a report summarizing responses and identifying key areas for government action.  CISAは、OS3Iを通じて、OSSエコシステム内のセキュリティとレジリエンスを促進する連邦政府の行動の優先順位付けを推進する。CISA、ONCD、国家安全保障局(NSF)、国防高等研究計画局(DARPA)、および行政管理予算局(OMB)は、オープンソースソフトウェアのセキュリティとメモリ安全プログラミング言語に関する情報提供要請(RFI)を公表することにより、この取り組みを開始した。RFIの後、作成機関は、回答をまとめた報告書を発行し、政府が取り組むべき主要分野を特定する。
Goal 4: Harden the OSS Ecosystem  目標4:OSSエコシステムの強化 
Recognizing the public-good nature of OSS and that any efforts to secure the broader OSS ecosystem will increase the security and resilience of the federal government and critical infrastructure, CISA will advance efforts to harden the broader OSS ecosystem. This effort will focus on OSS components identified in Goal 2 as being particularly critical for the federal government and critical infrastructure.  CISAは、OSSの公益的な性質と、より広範なOSSエコシステムを保護するための取り組みが連邦政府と重要インフラのセキュリティとレジリエンスを向上させることをガバナンスして、より広範なOSSエコシステムを強化する取り組みを進める。この取り組みは、ガバナンス2で連邦政府と重要インフラにとって特に重要であると識別されたOSSコンポーネントに焦点を当てる。
Objective 4.1. Continue to Advance SBOM Within OSS Supply Chains  目標4.1. OSSサプライチェーン内でSBOMを推進し続ける 
Although the value of software bill of materials (SBOM) is broader than OSS, there are unique challenges to achieving comprehensive SBOM generation throughout open source supply chains. In addition to continuing its work to drive SBOM standardization, CISA will also focus on the requirements, challenges, and opportunities of automatically generating dependency data within the open source ecosystem. The broader SBOM work will continue to engage with the OSS community and CISA will propose collaborations as appropriate with stakeholders identified in the initiatives above.   ソフトウェア部品表(SBOM)の価値は OSS よりも広範であるが、オープンソース・サプライチェーン全体で包括的な SBOM 生成を達成するには、独自の課題がある。CISAは、SBOM標準化を推進する作業の継続に加えて、オープンソースのエコシステム内で依存関係データを自動的に生成するための要件、課題、機会にも焦点を当てる。より広範なSBOM作業はOSSコミュニティとの関わりを継続し、CISAは、上記の取り組みで識別された利害関係者との適切な連携を提案する。 
Objective 4.2. Foster Security Education for Open Source Developers  目標 4.2. オープンソース開発者に対するセキュリティ教育を促進する。
In coordination with relevant federal agencies, including the NSF, CISA will support security education for current and future open source developers. As part of this effort, CISA, consulting with the open source community, will publish open source security toolkits that collect best practices and resources for open source security. This will include a toolkit for OSS maintainers with resources on secure software development and vulnerability disclosure,   CISA は、NSF を含む関連連邦機関と連携して、現在及び将来のオープンソース開発者向けのセ キュリティ教育を支援する。この取り組みの一環として、CISA はオープンソースコミュニティと協議しながら、オープンソースセキュリティのベストプラクティスとリソースを集めたオープンソースセキュリティツールキットを発行する。これには、安全なソフトウエア開発と脆弱性開示に関するリソースを含む、OSS メンテナ向けのツールキットが含まれる、  
Objective 4.3. Publish Guidance on OSS Security Usage Best Practices  目標 4.3. OSS セキュリティ利用のベストプラクティスに関するガイダンスを公表する。
CISA will publish best practices on securely incorporating OSS for entities including federal agencies, critical infrastructure organizations, and SLTT. This will include guidance for open source consumers on how to responsibly use OSS, as well as resources to understand OSS basics, a description of how OSS contributes to critical infrastructure, and OSS security basics.  CISAは、連邦機関、重要インフラ組織、SLTTを含む事業体向けに、OSSを安全に組み込むためのベスト・プラクティスを公表する。これには、責任を持ってOSSを利用する方法に関するオープンソース利用者向けのガイダンスのほか、OSSの基本、OSSが重要インフラにどのように貢献するかの説明、OSSセキュリティの基本を理解するためのリソースを含める。
Objective 4.4. Foster OSS Vulnerability Disclosure and Response  目標 4.4. OSS 脆弱性の開示と対応の促進 
CISA will continue to coordinate vulnerability disclosure and response for OSS vulnerabilities by leveraging relationships with the OSS community. This coordination may include establishing processes to specifically look for upstream issues in open source packages that critical infrastructure organizations depend on and quickly notify affected users of the identified vulnerabilities.  CISAは、OSSコミュニティとの関係を活用することにより、OSSの脆弱性の開示と対応を引き続き調整する。この調整には、重要インフラ組織が依存するオープン・ソース・パッケージの上流の問題を特に調査し、識別された脆弱性について影響を受けるユーザーに迅速に通知するプロセスを確立することも含まれる。

 

[1] Source code is the human-readable formal language that software developers use to specify the actions a computer will take.  [1] ソースコードとは、ソフトウェア開発者がコンピュータが実行する動作を指定するために使用する、人間が読める形式言語である。
[2] Synopsys. “2023 Open Source Security and Risk Analysis Report.” Last modified April 2023. https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-riskanalysis.html   [2] シノプシス。"2023 Open Source Security and Risk Analysis Report". 最終更新2023年4月。https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-riskanalysis.html  
[3] Gershon, Aviad and Folkman, Tal. “‘CuteBoi’ Detected Preparing a Large-Scale Crypto Mining Campaign on NPM Users.” Checkmarx Blog. July 6, 2022. https://checkmarx.com/blog/cuteboi-detected-preparing-a-largescale-crypto-mining-campaign-on-npm-users/.  [3] Gershon, Aviad and Folkman, Tal. "「CuteBoi」がNPMユーザーに対して大規模な暗号マイニングキャンペーンを準備していることを検知". Checkmarx Blog. https://checkmarx.com/blog/cuteboi-detected-preparing-a-largescale-crypto-mining-campaign-on-npm-users/。
[4] Trend Micro Research. “How Shady Code Commits Compromise the Security of the Open-Source Ecosystem.” Trend Micro Blog. July 11, 2022. https://www.trendmicro.com/en_us/research/22/g/how-shady-codecommits-compromise-the-security-of-the-open-sourc.html.  [4] Trend Micro Research. "How Shady Code Commits Compromise the Security of the Open-Source Ecosystem". トレンドマイクロブログ. https://www.trendmicro.com/en_us/research/22/g/how-shady-codecommits-compromise-the-security-of-the-open-sourc.html. 
[5] Tal, Liran. “What is typosquatting and how typosquatting attacks are responsible for malicious modules in npm.” Snyk Blog. January 12, 2021. https://snyk.io/blog/typosquatting-attacks/.   [5] Tal, Liran. "typosquattingとは何か、そしてtyposquatting攻撃がどのようにnpmの悪意のあるモジュールの原因となっているか". Snyk Blog. https://snyk.io/blog/typosquatting-attacks/。 
[6] These types of OSS supply chain attacks are described in more detail in Ladisa et al. See Ladisa, P., Plate, H., Martinez, M., and O. Barais. 2023. SoK: Taxonomy of Attacks on Open Source Software Supply Chains. Proceedings of the 2023 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, pp. 167-184. doi: 10.1109/SP46215.2023.00010.  [6] これらのタイプのOSSサプライチェーン攻撃については、Ladisa et al. 2023. SoK: Taxonomy of Attacks on Open Source Software Supply Chains. Proceedings of the 2023 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, pp.167-184. 
[7] TODO (OSPO) Group. “Open Source Program Office (OSPO) Definition and Guide.” May 31, 2023. https://github.com/todogroup/ospodefinition.org.  [7] TODO (OSPO) Group. "オープンソースプログラムオフィス(OSPO)の定義とガイド". https://github.com/todogroup/ospodefinition.org. 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.14 米国 CISA他 情報提供依頼: オープンソースソフトウェア・セキュリティ: 長期的な重点分野と優先順位付け

 

| | Comments (0)

ISO マネジメントシステム認証の取得数、取得サイト数 2022.12.31現在 日本企業はマネジメント認証が好きか?

こんにちは、丸山満彦です。

ISOがマネジメントシステム認証の取得数、取得サイト数(2022.12.31現在)の調査結果を公表していますね。。。

日本企業はISO認証が大好きという話がありましたが、意外とそうでもないかもです。。。どうなんでしょうかね。。。

ISMSの認証も20年ほど前は日本の認証数が全世界の半数以上だったのですが、今は10%弱となっていますね。。。

 

ISO

・2023.09.12 The ISO Survey

Full Survey Data (過去のデータもあります。。。)

Title Down Loaded
0.Explanatory note and overview on ISO Survey 2022 results XLSX
1.ISO Survey 2022 results - Number of certificates and sites per country and the number of sector overall XELS
2. ISO Survey 2022 results - Number of sectors by country for each standard XLSX
3.ISO Survey 2022 - comparison with 2021 - using data from providers taking part both years XLSX
Past Surveys  

 

日本での認証数

      日本 全世界
ISO 9001: 2015 Quality management systems -- Requirements 品質マネジメントシステム--要求事項 38,916 1,265,216 3.1%
ISO 14001: 2015 Environmental management systems -- Requirements with guidance for use 環境マネジメントシステム -- 要求事項(使用ガイダンス付き 20,892 529,853 3.9%
ISO/IEC 27001: 2013 Information technology -- Security techniques -- Information security management systems -- Requirements 情報技術 -- セキュリティ技術 -- 情報セキュリティマネジメントシステム -- 要求事項 6,987 71,549 9.8%
ISO 22000: 2018 Food safety management systems -- Requirements for any organization in the food chain 食品安全マネジメントシステム -- フードチェーンにおけるあらゆる組織に対する要求事項 1,833 45,459 4.0%
ISO 45001: 2018 Occupational health and safety management systems -- Requirements with guidance for use 労働安全衛生マネジメントシステム--使用ガイダンス付き要求事項 1,948 397,339 0.5%
ISO 13485: 2016 Medical devices -- Quality management systems -- Requirements for regulatory purposes 医療機器--品質マネジメントシステム--規制目的のための要求事項 2 29,741 0.0%
ISO 50001: 2018 Energy management systems -- Requirements with guidance for use エネルギーマネジメントシステム -- 使用ガイダンス付き要求事項 10 28,164 0.0%
ISO 22301: 2012&2019 Societal security -- Business continuity management systems -- Requirements 社会セキュリティ -- 事業継続マネジメントシステム -- 要求事項 64 3,200 2.0%
ISO/IEC 20000-1: 2018